隨著生活水平的提高�,各個國家中健康行業(yè)的GDP所占比率也在不斷提高。數(shù)字化醫(yī)療是隨著信息技術(shù)的發(fā)展從60年代的醫(yī)院管理程序���,到電子健康檔案���,再一路到當下集成物聯(lián)網(wǎng)��,云技術(shù)�����,大數(shù)據(jù)和AI的智慧醫(yī)療�����。
數(shù)字化轉(zhuǎn)型徹底改變了醫(yī)療健康產(chǎn)業(yè)���,隨著云計算和大數(shù)據(jù)分析的蓬勃發(fā)展,以及以消費者為中心的醫(yī)療體系的轉(zhuǎn)變���,醫(yī)療健康服務正在重塑��。不久前醫(yī)療設備還是沒有任何網(wǎng)絡連接的獨立設備�����,如今的醫(yī)療設備不僅有網(wǎng)絡連接�����,而且還常常接入云端����。這些先進技術(shù)通過與云計算結(jié)合,使我們現(xiàn)在擁有了龐大的數(shù)據(jù)集���。這些數(shù)據(jù)集可同大數(shù)據(jù)分析一起���,使用于管理人口健康、預測健康趨勢以及處理流行疾病��,可以有效改善患者的治療效果�����。新冠疫情加快數(shù)字化進程�,遠程醫(yī)療成為剛需�����,醫(yī)生和患者對線上接受度有著明顯的提升�。
國際云安全聯(lián)盟CSA發(fā)布白皮書《醫(yī)療健康網(wǎng)絡安全手冊》從全球視角提出了網(wǎng)絡安全的發(fā)展趨勢分析,行業(yè)網(wǎng)絡安全痛點以及相應的解決方案建議����,為企業(yè)安全負責人和從業(yè)者提供參考�����。(文末附白皮書下載方式)
數(shù)字醫(yī)療帶來哪些挑戰(zhàn)��?
隨著數(shù)字醫(yī)療的普及�����,醫(yī)療設備與相關(guān)系統(tǒng)的安全性已經(jīng)關(guān)系到醫(yī)療機構(gòu)業(yè)務的正常運營�����。勒索軟件���,拒絕服務攻擊造成的醫(yī)院應用系統(tǒng)中斷,已經(jīng)給多家醫(yī)療機構(gòu)和患者帶來巨大影響�。2020年9月,美國環(huán)球健康服務公司250處設施遭勒索軟件攻擊��,迫使醫(yī)生和護士依靠紙筆書寫病歷���。同月�,德國的杜塞爾多夫發(fā)生勒索軟件造成醫(yī)院IT系統(tǒng)故障�, 迫使重病患者被送往另一個城市的醫(yī)院���,救治的延誤造成患者死亡。
數(shù)字醫(yī)療伴生了大量的患者個人健康信息���,在收集��、開發(fā)和利用上��,患者數(shù)據(jù)的保護不利�����,往往對患者本人造成極大的困撓����,甚至在生活和工作中遭遇歧視����。
同時���, 健康醫(yī)療數(shù)據(jù)不僅涉及到個人層面�,也涉及到公共利益���,甚至是國家安全����。患者個人的治療數(shù)據(jù)的積累���,可能涉及整個治療方案的優(yōu)化改進�����,地區(qū)人群和種族基因數(shù)據(jù)則可能關(guān)乎國家安全��。
云計算助力兌現(xiàn)高質(zhì)量��、低成本和
安全的醫(yī)療承諾
虛擬醫(yī)療和可穿戴個人健康監(jiān)測設備的使用大大增加了攻擊面��。再加上商業(yè)性的非醫(yī)療機構(gòu)現(xiàn)在也參與其中�,亞馬遜宣布擴展到全國范圍內(nèi)的遠程醫(yī)療�,谷歌收購了Fitbit。隨著這一增長���,我們?nèi)绾蝺冬F(xiàn)獲得高質(zhì)量�����、低成本和安全醫(yī)療的承諾�?
云計算作為一項有望改變醫(yī)療健康行業(yè)的有前途的技術(shù)迅速進入我們的環(huán)境。云計算具有許多優(yōu)勢����,例如靈活性、成本和能源節(jié)約��、資源共享和快速部署���。但云計算還帶來了許多安全和隱私問題���, 衛(wèi)生保健組織 (HDO) 需要隨時隨地訪問醫(yī)療記錄,云計算促進了來自患者����、醫(yī)療設備、醫(yī)療物聯(lián)網(wǎng) (IoMT) 和多個 HDO 的數(shù)據(jù)共享�����。這種共享以及 HDO 和患者隨時隨地訪問�,需要更高級別的安全性�����。
無論數(shù)據(jù)駐留在何處,HDO都負責確保醫(yī)療數(shù)據(jù)的隱私和安全����。醫(yī)療健康數(shù)據(jù)很有價值,而 HDO 是網(wǎng)絡犯罪分子的目標����。這使得HDO 必須保護所有患者信息,除了保護患者信息的道德義務外�,組織還需要滿足監(jiān)管要求。
世界上大多數(shù)國家/地區(qū)還制定了管理健康數(shù)據(jù)處理的數(shù)據(jù)保護法���。由于國家之間的數(shù)據(jù)保護制度存在差異���,大多數(shù)國家除非滿足某些條件否則禁止個人數(shù)據(jù)(包括健康數(shù)據(jù))的傳輸,HDO必須了解管理其數(shù)據(jù)收集��、處理和存儲地點的法律�����。
云安全聯(lián)盟的安全、信任�����、保證和風險計劃(CSA STAR)
人們越來越意識到��,當前安全事件呈上升趨勢����, 有必要建立一個通用框架,確保報告的透明性和道德性��,并確保信息提供者本身的信譽�。云安全聯(lián)盟的安全、信任��、保證和風險計劃(CSA STAR)提供了解決這些差距的方法和工具���。
CSA STAR 包含透明度��、嚴格審計和標準協(xié)調(diào)的關(guān)鍵原則����, 使用 STAR 的公司指出最佳實踐并驗證其云產(chǎn)品的安全狀況��,STAR評估是基于云控制矩陣CCM,CSA的共識評估倡議問卷 (CAIQ) 和云控制矩陣 (CCM) 是幫組織實現(xiàn)云上數(shù)據(jù)安全的絕佳工具���。
STAR 注冊表記錄了流行的云計算產(chǎn)品提供的安全和隱私控制。這個可公開訪問的注冊表允許云客戶評估他們的安全提供商以做出最佳采購決策�。下圖責任共擔模型明確各個角色及職責,STAR 要求組織考慮云服務提供商和用戶的角色和責任��。
來自CSA的方案 -
從數(shù)據(jù)出發(fā)����,管理整個生命周期
數(shù)字醫(yī)療的核心價值就在數(shù)據(jù)中,這也就是我們需要盡力去保護的東西�。為了保護數(shù)據(jù),必須知道擁有哪些數(shù)據(jù)����,這些數(shù)據(jù)存儲在什么地方。為了確保能夠從所有的角度照顧到數(shù)據(jù)安全的方方面面�����,最好的辦法就是貫徹整個數(shù)據(jù)生命周期的審視�����。
1. 創(chuàng)建 - 數(shù)據(jù)的生成,獲取或者是修改
· 了解數(shù)據(jù)來源����、收集方式、收集主體��;
· 對數(shù)據(jù)進行分類分級���,并明確數(shù)據(jù)保護要求�;
· 明確數(shù)據(jù)創(chuàng)建工具的安全性����;
2. 存儲-將數(shù)據(jù)發(fā)送到數(shù)據(jù)倉庫
· 明確存儲的數(shù)據(jù)的種類,存儲位置�,訪問權(quán)限,存儲狀態(tài)和保留期限���;
3. 使用-對數(shù)據(jù)進行處理���,
查看或者是其他任何的使用活動
· 明確數(shù)據(jù)的用戶,用途�����,和使用方式和合規(guī)性
4. 共享-數(shù)據(jù)或是信息為其他人所訪問
· 明確數(shù)據(jù)共享方,共享目的��,共享方式和共享方對數(shù)據(jù)的保護義務和措施
5. 歸檔-數(shù)據(jù)放置于長期的存儲之中
· 明確數(shù)據(jù)的保留期限和歸檔要求
6. 銷毀-當數(shù)據(jù)不再需要時�,
對它進行物理性的摧毀
· 明確合規(guī)的銷毀方,銷毀措施和數(shù)據(jù)銷毀的保障
