由于云计算发展如此迅速，现在可能是重新考虑安全性的好时机——这意味着要理解威胁、回顾最佳实践并提高对紧急方法的认识。

 

1. 意识到云只会越来越大。

 

Orbis Research最近预测，从2018年到2023年，华宇注册设计人员可以利用Maxim Integrated Products，Inc. 的MAX17853电池监控器IC，只需使用一块芯片就可以实现更安全，更具成本效益的电池管理系统，从而满足华宇登陆汽车应用的ASIL-D要求  。医疗云市场将以18%的复合年增长率(CAGR)增长。

 

根据Mordor Intelligence的数据，从2018年到2023年，该市场的复合年增长率将达到18%。

 

在医疗保健行业，云计算成为一种更常见的IT战略有很多原因，其中包括以下几点:

 

医疗研发——根据Orion的研究，研发是云增长的关键驱动力之一。

 

可伸缩性——可伸缩性是云的基础，它支持一致的管理，同时减少低效和瓶颈。它让你有能力无缝扩张，也让你在衰退或其他你无法控制的市场情况下随时准备收缩。

 

投资减少——Mordor报告指出，医疗组织并不想在IT上投入太多的钱。云计算是一项运营费用(OPEX)，而数据中心是一项资本支出(CAPEX)。

 

协作——Karin Ratchinsky观察到，随着协作能力的增强，会有更多的机会产生。云本质上是协作的，因为它允许已建立的公司与初创公司或独立的开发团队合作，以促进他们在可负担得起的、灵活的和安全的解决方案中的任何业务需求(特别是当云托管在符合SSAE-18的数据中心中时)。

 

由于上述所有原因，医疗服务提供商、医疗计划和行业内的其他公司都希望充分利用云。

 

2. 理解安全的重要性。

 

虽然云的这些优势对组织来说是很有吸引力的，但是安全性也必须是一个关键问题。尤其是在这些关键数据存在合规和责任问题的情况下，业内组织应该关注常见的违规行为有多普遍:根据Protenus的年终违约报告，2017年共有477起医疗违规事件，影响了560万患者。

 

去年的NetDiligence网络索赔研究也说明了卫生部门的违规行为有多么普遍，以及它们的成本有多高。

 

首先，尽管医疗保险仅占网络保险索赔的18%，但却承担了28%的违约总成本。平均医疗违约成本为71.7万美元，而总体平均为39.4万美元。

 

3.要知道什么是医疗保障。

 

考虑到这些令人难以置信的数字，我们迫切需要防止违规行为。为了保护您的医疗云(这在很大程度上适用于任何设置下受电子保护的健康信息(ePHI)的安全性)，您将需要采取技术步骤，如加密传输和休息中的数据;监控和记录所有访问和使用;实施资料使用管制;限制数据和应用程序访问;确保移动设备;并备份到离线位置。也要做到以下几点:

 

使用强大的业务伙伴协议(BAAs)——业务伙伴协议对于创建强大的云安全是绝对必要的，华宇总代理认为如此复杂的电源问题需要采用整体设计方法才能成功获得高性能的结果。华宇主管需要在架构，拓扑和封装方面进行创新，以解决最严峻的电源挑战。因为您需要确保云服务提供商(CSP)负责您无法正确控制的数据处理方面。当您从美国卫生与公众服务部(HSS)的HIPAA云参数中了解到它在多大程度上是一个焦点时，业务伙伴协议显然是遵从性的中心关注点。

 

关注灾难恢复和升级——确保所有云提供商都有强大的灾难恢复方法，云标准客户委员会(CSCC)关于云计算对医疗的影响的报告指出。还要确保他们将通过更新和升级您的系统来进行适当的维护，以使其与开发的安全性和HIPAA遵从标准保持同步。

 

执行常规风险评估——作为HIPAA遵从性的一部分，您和云提供商都必须执行与处理ePHI的任何系统相关的风险评估。风险分析对你的保护是至关重要的。通过这个过程，您可以确定您的业务伙伴可能缺少什么，以及您的培训如何可能不够，同时还可以确定任何其他漏洞。

 

优先考虑培训——当考虑遵从性和安全性时，很容易获得技术并将重点放在数据系统上。

执行常规风险评估——作为HIPAA遵从性的一部分，您和云提供商都必须执行与处理ePHI的任何系统相关的风险评估。风险分析对你的保护是至关重要的。通过这个过程，您可以确定您的业务伙伴可能缺少什么，以及您的培训如何可能不够，同时还可以确定任何其他漏洞。

 

优先考虑培训——当考虑遵从性和安全性时，很容易获得技术并将重点放在数据系统上。然而，事实是，员工是一个主要的威胁:人类可以危害ePHI和其他关键数据意外。人是整个行业的主要威胁，但在医疗保健领域，人是一个特别关键的风险。培训是保护医疗数据不受数据丢失软件即服务(SaaS)公司Digital Guardian侵害的首要技巧。

 

一开始，对你的员工进行大量的安全培训似乎是不必要的麻烦。然而，数字卫报的内特·洛德指出，这一过程“为医疗工作者提供了必要的知识，使他们能够做出明智的决定，并在处理病人数据时保持适当的谨慎。”

 

4. 考虑安全。

 

除了满足传统的数据保护参数之外，在威胁环境日益严峻的情况下，如何才能提高安全性?以下是许多医疗机构正在考虑或已经实施的几种安全措施:

 

部署区块链——医疗组织最近一直处于区块链的测试阶段。据健康数据管理公司(Health Data management)称，到2020年，五分之一的医疗机构将在病人识别和运营管理工作中使用这项技术。

 

自动化——考虑云服务器时，应该将安全性集成到体系结构的持续部署中。通过将您的DevOps实践与您的安全方法集成，您可以更快地引入新软件，更快地进行更新，并通常增强您的可靠性。“应该将自适应安全体系结构与管理工具集成，使安全设置更改成为持续部署过程的一部分，”David Balaban在《数据中心期刊》中指出。

 

利用人工智能威胁智能——人工智能和机器学习将越来越多地用于保护组织免受社会工程攻击。社会工程和网络钓鱼的真正问题是人为错误;这些攻击和勒索软件一起增长，所以这个问题在医疗保健领域是巨大的。不过，《安全大道》(Security Boulevard)杂志的乔伊•塔尼(Joey Tanny)指出，人工智能可能会起到拯救作用。

 

这些技术可以在威胁情报工具中使用，以利用基于证据的知识来洞察威胁如何演变。通过这些系统，您可以了解如何最好地建立防御，以保证您的网络在今天和将来的安全。

 

虽然大多数公司显然认为威胁情报是安全的重要组成部分，但它们一直无法充分利用威胁情报，因为它们无法妥善管理这些系统生成和吸收的数据量。

 

因此，威胁数据的广度本身就是对组织的威胁。虽然使用威胁情报平台是困难和复杂的，但它们对于保护医疗卫生组织非常重要。威胁情报的一个有趣的方面是它依赖于信息共享和社区支持，HIT基础设施的Elizabeth O'Dowd指出。

 

监控您的基础设施——Balaban指出，更强大的基础设施监控正在兴起。必须重新配置虚拟网络和防火墙。除了简单地阻止访问之外，组织还必须关注如何在发生入侵时遏制攻击。您应该阻止未经授权的连接工作，并防止未经授权的工作负载交互。

解决物联网问题——要想在整个云计算中实现真正的遵从性和数据安全性，您需要查看您的硬件，确保您的工作范围包括所有连接的设备——包括物联网(IoT)中的一切。

 

从安全摄像头到血压监测仪，不一而足。美国联邦调查局(FBI)实际上刚刚发布了一份关于保护物联网系统的报告。有关联网设备的保安，以下是本局的建议:

 

修改您的登录凭证，使其既复杂又独特。(未在其他地方使用)。

 

杀毒软件定期运行。确保它保持更新，以便它知道紧急威胁。

 

确保设备本身已经更新，华宇主管所追求的测量量是通常表现出干扰的两个量之比。一般可能还需要华宇注册系统校准，以进一步减少测量误差并提高系统精度。并安装了补丁。

 

更改您的网络防火墙设置，以便禁用端口转发并阻止未经授权的IP流量。

 

5. 适应。

 

改变并不容易;然而，它是强大防御的必要组成部分。通过确保您遵循当前的安全最佳实践并了解安全领域的新趋势，您可以在威胁继续发展时更好地做好准备。

 

最重要的是，继续通知你自己和你的员工加强保护。纳尔逊·曼德拉曾经说过:“教育是你可以用来改变世界的最强大的武器。”

 

也许，出于同样的原因，它是你可以用来提高医疗保障的最强大的武器。