医疗行业一直专注于数据安全。这是由于医疗机构必须存储大量敏感数据,并遵守严格的合规规定。他们别无选择,只能将安全作为重中之重。
可以理解的是,他们一直对可能使数据处于风险中的新兴技术(其中包括云计算技术)持怀疑态度。
但时代在变,医疗行业也在发生变化。2018年1月,英国最大的医疗服务提供商National Health Service(NHS)被允许扩大其采用云计算服务的应用范围,以存储其患者数据。
根据“2018年Netwrix云安全深度报告”,84%的医疗机构已经将数据存储在云中,但NHS是第一个进行这种正式扩展的医疗保健组织。
尽管NHS的决定是受到云计算优点所驱动,例如更好的数据安全性,降低的运营成本,但从IT人员角度来看,其实际应用情况还有待观察。
Netwrix公司的调查表明,只有19%的企业表示在采用云计算服务之后,他们的安全性有所提高。事实上,大部分受访者都不确定云采用对其业务安全产生的影响,或者认为此举实际上降低了他们的整体安全态势。
医疗保健行业主要关注的顶级云计算问题
2017年,恶意软件的渗透和攻击持续增长,勒索软件是最常见的攻击之一。据报道,在全球,组织平均每40秒就受到一次勒索软件的袭击。医疗保健提供商是恶意软件的主要目标,这些恶意软件其中包括NotPetya,WannaCry和Locky等变种。
勒索软件WannaCry对NHS的袭击导致37%的业务受到影响,并取消了数千个医患预约和诊疗业务。尽管NHS没有支付勒索赎金,但是在取消预约、聘用IT顾问、系统停机,以及声誉和组织宣传方面,确实损失了多重隐性成本。而调查研究反映了这一点,61%的医疗机构担心恶意软件渗透。
该调查还发现,医疗保健是唯一一个将数据加密作为顶级云端安全问题的行业。医疗合规标准通常要求数据加密。
其副作用是数据加密可能让医疗保健提供商的云账单成倍增长。因此,较小的医疗机构(尤其是私有医疗机构)往往会抵制云迁移,或者至少避免将需要受到保护的健康信息(PHI)存储在云中。
医疗保健组织将内部员工的行为列为云安全的最大风险,超过50%的受访者表示人为因素起着最重要的作用。尽管如此,只有21%的医疗保健机构表示完全了解他们的IT员工在云中所做的工作,却很不了解业务用户的活动。
事实上在调查研究中,所有行业中对内部参与者的总体可见度是最低的。很多企业认识到了这种不匹配,但其中大多数没有得到必要的管理支持来解决这个问题。只有一半的受访者表示他们获得组织最高管理层的支持来实施云安全措施。
提高云计算安全性的措施
不到三分之一的受访公司表示计划增加安全解决方案,以提高其应对云计算风险的能力。组织高级管理人员的支持不足,使得IT预算无法购买额外的安全软件或招聘经验丰富的云计算专业人员。相反,他们不得不采取成本更低的措施,例如改善员工培训和加强安全政策。
表面上看,这些策略可能看起来像是对与员工相关的高度安全风险的有效回应。然而,用户活动的可视性差使其无法衡量成功,大多数IT团队根本无法确定改进的培训和更严格的政策是否有所成效。而且,如果组织依靠员工来做正确的事情的话,那就需要对员工进行相关的技术和安全的培训。
而组织采用的长期安全策略是不可替代的。
云安全趋势
NHS的云计算决策预示着医疗行业采用云计算活动的增加,无论安全问题还是高级管理层的支持不足。大约69%的被调查组织已经计划将更多数据转移到云端。
目前,医疗保健仍然是调查中的一个技术保守行业。只有23%的组织计划采用更广泛的云服务。直到云计算提供商开始提供更先进的方法来解决数据安全问题,并帮助进行合规性审计时,大多数受访者将继续对云采用持谨慎态度。
总而言之,就云采用而言,NHS公司对于医疗保健行业的云应用是一个例外。在将其受保护的健康信息存储在云中之前,大多数私有医疗服务机构都在等待条件成熟。
而错误的代价太高,尤其是当大多数IT部门不能全面了解用户活动时。数据加密成本的降低可能会鼓励小型医疗服务机构采用云计算服务。
目前提供的云安全服务已经超过了许多中小型公司的能力,并提供足够满足合规审计人员的安全保护。
总之,随着云安全技术和措施的成熟,越来越多的医疗服务提供商采用云服务。云计算更容易遵守法规,并将有助于医疗机构更专注于服务病人。