在一个由Health Technology Transformation举办的在线网络会议上,与会者认为无论是健康保险携带(HIPAA)还是HITECH 法案,都需要做风险评估,然而在实际操作中,很多涉及到医疗的举措要么没有风险评估,要么消极应对。
在这次讨论会上,来自伯克希尔健康系统的Paul Doucette认为,安全问题应该首先从风险评估开始,在医疗行业,有三大防御措施针对数据安全和管理。这个风险评估过程可以让企业了解数据都存放在哪里、数据的形式是什么、那些数据是有价值的。随着便携式设备越来越多的应用于医疗行业,风险评估这项工作不再简单,但倘若忽视这个,是不可能确保安全的。
Doucette 介绍说:“我们首先需要做的就是确定那些数据存放的地方。我们的确不知道它们会在人们的电脑上或者上。一旦你允许BYOD,你会对那些数据如何涌现出来感到吃惊。”
Doucette 表示,伯克希尔健康系统一旦确认员工在哪些地方了数据,那么这数据将会加密保存在移动设备里。系统也允许安全人员通过查看系统日志追踪数据的移动。如果数据遗失或者被窃取,这些举措对之后配合法律调查非常重要。它可以非常准确的发现有多少个文件丢失,这些文件上的数据是什么等等,这些让系统对损失进行评估。
McAfee营销技术部总监Kim Singletary称,即使在公司之间,对于风险评估也有很多误解。比如,很多人觉得应该每两年做一次风险评估,而一些人认为只需对电子数据做评估。
无论是健康保险携带方案还是HITECH 法案,都没有确定多久进行一次风险评估。他们表示一个公司只需要一次“现在时”的安全评估。大多数安全专家认为,风险评估每年需要实施一次或者公司内部调整涉及到公司安全环境时,比如在健康机构里,电子健康记录更新时也需要进行评估。还有一些人觉得风险评估是个持续的过程,没有明确的开始时间和结束时间,也不是一次性的工作。
Singletary 说:“HIPAA的重要一点就是以风险评估开始,我们从OCR(Office of Civil Rights)了解到,风险评估绝不仅仅是一次工作,它必然是一个过程”。她又补充道,一旦一家企业做了充分的风险评估,企业可以取长补短,制定出更加完善的政策和技术方案。这可能大大减少数据泄露的可能,要知道拯救数据泄露是一件多么昂贵的事情。联邦执法部门数据泄露的打击力度不断加强。医疗机构的数据泄露带来的成本巨大,比如需要对被影响的病人信用卡记录做监控,再花费巨资进行市场营销活动为医院挽回颜面。
当然,完成安全评估并不能一下子解决存在的安全漏洞。 提供IT咨询和服务的DynTek公司销售总监Brian Zeno认为,安全风险评估可以帮助企业识别哪些漏洞是最危险的,同时使企业明白如何在现有的人力和物力情况下去解决这些致命漏洞。
Zeno将可用的安全控制措施分成四个方面:物理控制、设备和媒体控制、加密控制和销毁控制。他说大多数公司对物理设备接入系统都有较好的安全控制政策。很多设备制造商基于安全的考虑,会在设备里安装各种和软件。但这还不够,尤其是当特殊情况安全人员不使用这些软件的时候。
企业们对加密和销毁的控制还是很纠结。 Zeno说他曾经有过一些案例,这些公司就是不会加密任何数据,即使加密数据的过程很简单、成本很低。这个问题正在加剧,因为很多供应商并没有制定处置废旧电脑和设备的政策。而不当的销毁设备上加密的病人数据则会导致安全风险。
实行安全风险评估可以有效地确定这些控制政策是否运作正常。相反而言,没有采取评估则会供应商及监管者遇到麻烦。OCR表示将继续推进HIPAA和HITECH法案中涉及安全和隐私的条款,而那些没有筹备安全条例的企业有可能在实施行动中承担恶果。