隨著生活水平的提高,各個(gè)國(guó)家中健康行業(yè)的GDP所占比率也在不斷提高�����。數(shù)字化醫(yī)療是隨著信息技術(shù)的發(fā)展從60年代的醫(yī)院管理程序���,到電子健康檔案,再一路到當(dāng)下集成物聯(lián)網(wǎng)�����,云技術(shù)����,大數(shù)據(jù)和AI的智慧醫(yī)療�。
數(shù)字化轉(zhuǎn)型徹底改變了醫(yī)療健康產(chǎn)業(yè),隨著云計(jì)算和大數(shù)據(jù)分析的蓬勃發(fā)展�����,以及以消費(fèi)者為中心的醫(yī)療體系的轉(zhuǎn)變�����,醫(yī)療健康服務(wù)正在重塑���。不久前醫(yī)療設(shè)備還是沒(méi)有任何網(wǎng)絡(luò)連接的獨(dú)立設(shè)備��,如今的醫(yī)療設(shè)備不僅有網(wǎng)絡(luò)連接����,而且還常常接入云端�。這些先進(jìn)技術(shù)通過(guò)與云計(jì)算結(jié)合,使我們現(xiàn)在擁有了龐大的數(shù)據(jù)集���。這些數(shù)據(jù)集可同大數(shù)據(jù)分析一起��,使用于管理人口健康����、預(yù)測(cè)健康趨勢(shì)以及處理流行疾病�,可以有效改善患者的治療效果�����。新冠疫情加快數(shù)字化進(jìn)程,遠(yuǎn)程醫(yī)療成為剛需�,醫(yī)生和患者對(duì)線上接受度有著明顯的提升。
國(guó)際云安全聯(lián)盟CSA發(fā)布白皮書(shū)《醫(yī)療健康網(wǎng)絡(luò)安全手冊(cè)》從全球視角提出了網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)分析,行業(yè)網(wǎng)絡(luò)安全痛點(diǎn)以及相應(yīng)的解決方案建議��,為企業(yè)安全負(fù)責(zé)人和從業(yè)者提供參考���。(文末附白皮書(shū)下載方式)
數(shù)字醫(yī)療帶來(lái)哪些挑戰(zhàn)���?
隨著數(shù)字醫(yī)療的普及�����,醫(yī)療設(shè)備與相關(guān)系統(tǒng)的安全性已經(jīng)關(guān)系到醫(yī)療機(jī)構(gòu)業(yè)務(wù)的正常運(yùn)營(yíng)�����。勒索軟件,拒絕服務(wù)攻擊造成的醫(yī)院應(yīng)用系統(tǒng)中斷��,已經(jīng)給多家醫(yī)療機(jī)構(gòu)和患者帶來(lái)巨大影響。2020年9月��,美國(guó)環(huán)球健康服務(wù)公司250處設(shè)施遭勒索軟件攻擊����,迫使醫(yī)生和護(hù)士依靠紙筆書(shū)寫(xiě)病歷�����。同月�����,德國(guó)的杜塞爾多夫發(fā)生勒索軟件造成醫(yī)院IT系統(tǒng)故障�����, 迫使重病患者被送往另一個(gè)城市的醫(yī)院,救治的延誤造成患者死亡��。
數(shù)字醫(yī)療伴生了大量的患者個(gè)人健康信息�����,在收集�、開(kāi)發(fā)和利用上��,患者數(shù)據(jù)的保護(hù)不利�����,往往對(duì)患者本人造成極大的困撓�����,甚至在生活和工作中遭遇歧視。
同時(shí)��, 健康醫(yī)療數(shù)據(jù)不僅涉及到個(gè)人層面����,也涉及到公共利益����,甚至是國(guó)家安全?����;颊邆€(gè)人的治療數(shù)據(jù)的積累,可能涉及整個(gè)治療方案的優(yōu)化改進(jìn)��,地區(qū)人群和種族基因數(shù)據(jù)則可能關(guān)乎國(guó)家安全����。
云計(jì)算助力兌現(xiàn)高質(zhì)量�、低成本和
安全的醫(yī)療承諾
虛擬醫(yī)療和可穿戴個(gè)人健康監(jiān)測(cè)設(shè)備的使用大大增加了攻擊面�����。再加上商業(yè)性的非醫(yī)療機(jī)構(gòu)現(xiàn)在也參與其中�,亞馬遜宣布擴(kuò)展到全國(guó)范圍內(nèi)的遠(yuǎn)程醫(yī)療,谷歌收購(gòu)了Fitbit��。隨著這一增長(zhǎng)��,我們?nèi)绾蝺冬F(xiàn)獲得高質(zhì)量���、低成本和安全醫(yī)療的承諾?
云計(jì)算作為一項(xiàng)有望改變醫(yī)療健康行業(yè)的有前途的技術(shù)迅速進(jìn)入我們的環(huán)境��。云計(jì)算具有許多優(yōu)勢(shì),例如靈活性、成本和能源節(jié)約、資源共享和快速部署。但云計(jì)算還帶來(lái)了許多安全和隱私問(wèn)題���, 衛(wèi)生保健組織 (HDO) 需要隨時(shí)隨地訪問(wèn)醫(yī)療記錄�,云計(jì)算促進(jìn)了來(lái)自患者、醫(yī)療設(shè)備、醫(yī)療物聯(lián)網(wǎng) (IoMT) 和多個(gè) HDO 的數(shù)據(jù)共享�。這種共享以及 HDO 和患者隨時(shí)隨地訪問(wèn)��,需要更高級(jí)別的安全性。
無(wú)論數(shù)據(jù)駐留在何處,HDO都負(fù)責(zé)確保醫(yī)療數(shù)據(jù)的隱私和安全��。醫(yī)療健康數(shù)據(jù)很有價(jià)值���,而 HDO 是網(wǎng)絡(luò)犯罪分子的目標(biāo)���。這使得HDO 必須保護(hù)所有患者信息,除了保護(hù)患者信息的道德義務(wù)外,組織還需要滿(mǎn)足監(jiān)管要求。
世界上大多數(shù)國(guó)家/地區(qū)還制定了管理健康數(shù)據(jù)處理的數(shù)據(jù)保護(hù)法���。由于國(guó)家之間的數(shù)據(jù)保護(hù)制度存在差異��,大多數(shù)國(guó)家除非滿(mǎn)足某些條件否則禁止個(gè)人數(shù)據(jù)(包括健康數(shù)據(jù))的傳輸,HDO必須了解管理其數(shù)據(jù)收集�����、處理和存儲(chǔ)地點(diǎn)的法律��。
云安全聯(lián)盟的安全�����、信任���、保證和風(fēng)險(xiǎn)計(jì)劃(CSA STAR)
人們?cè)絹?lái)越意識(shí)到�,當(dāng)前安全事件呈上升趨勢(shì)��, 有必要建立一個(gè)通用框架�����,確保報(bào)告的透明性和道德性��,并確保信息提供者本身的信譽(yù)。云安全聯(lián)盟的安全����、信任、保證和風(fēng)險(xiǎn)計(jì)劃(CSA STAR)提供了解決這些差距的方法和工具��。
CSA STAR 包含透明度��、嚴(yán)格審計(jì)和標(biāo)準(zhǔn)協(xié)調(diào)的關(guān)鍵原則����, 使用 STAR 的公司指出最佳實(shí)踐并驗(yàn)證其云產(chǎn)品的安全狀況,STAR評(píng)估是基于云控制矩陣CCM�,CSA的共識(shí)評(píng)估倡議問(wèn)卷 (CAIQ) 和云控制矩陣 (CCM) 是幫組織實(shí)現(xiàn)云上數(shù)據(jù)安全的絕佳工具。
STAR 注冊(cè)表記錄了流行的云計(jì)算產(chǎn)品提供的安全和隱私控制����。這個(gè)可公開(kāi)訪問(wèn)的注冊(cè)表允許云客戶(hù)評(píng)估他們的安全提供商以做出最佳采購(gòu)決策。下圖責(zé)任共擔(dān)模型明確各個(gè)角色及職責(zé)�,STAR 要求組織考慮云服務(wù)提供商和用戶(hù)的角色和責(zé)任。
來(lái)自CSA的方案 -
從數(shù)據(jù)出發(fā)�����,管理整個(gè)生命周期
數(shù)字醫(yī)療的核心價(jià)值就在數(shù)據(jù)中����,這也就是我們需要盡力去保護(hù)的東西。為了保護(hù)數(shù)據(jù)��,必須知道擁有哪些數(shù)據(jù)���,這些數(shù)據(jù)存儲(chǔ)在什么地方�。為了確保能夠從所有的角度照顧到數(shù)據(jù)安全的方方面面����,最好的辦法就是貫徹整個(gè)數(shù)據(jù)生命周期的審視。
1. 創(chuàng)建 - 數(shù)據(jù)的生成�,獲取或者是修改
· 了解數(shù)據(jù)來(lái)源、收集方式�����、收集主體�;
· 對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí),并明確數(shù)據(jù)保護(hù)要求�����;
· 明確數(shù)據(jù)創(chuàng)建工具的安全性;
2. 存儲(chǔ)-將數(shù)據(jù)發(fā)送到數(shù)據(jù)倉(cāng)庫(kù)
· 明確存儲(chǔ)的數(shù)據(jù)的種類(lèi)����,存儲(chǔ)位置,訪問(wèn)權(quán)限�,存儲(chǔ)狀態(tài)和保留期限;
3. 使用-對(duì)數(shù)據(jù)進(jìn)行處理��,
查看或者是其他任何的使用活動(dòng)
· 明確數(shù)據(jù)的用戶(hù)���,用途��,和使用方式和合規(guī)性
4. 共享-數(shù)據(jù)或是信息為其他人所訪問(wèn)
· 明確數(shù)據(jù)共享方���,共享目的,共享方式和共享方對(duì)數(shù)據(jù)的保護(hù)義務(wù)和措施
5. 歸檔-數(shù)據(jù)放置于長(zhǎng)期的存儲(chǔ)之中
· 明確數(shù)據(jù)的保留期限和歸檔要求
6. 銷(xiāo)毀-當(dāng)數(shù)據(jù)不再需要時(shí)��,
對(duì)它進(jìn)行物理性的摧毀
· 明確合規(guī)的銷(xiāo)毀方�,銷(xiāo)毀措施和數(shù)據(jù)銷(xiāo)毀的保障
