2022 年,台灣衛福部宣布新版電子病歷上雲法規,強調雲端資安管理的重要性,並要求醫療系統未來皆需取得國際資安認證,進一步宣告數位醫療時代來臨。
隨著數位環境不斷演進,數位醫療的未來正是全球各地的醫療組織每天都面臨的艱巨任務,確保患者資料的即時維護與私密通訊的安全性已成為當前首要挑戰。同時,現代化、容易擴展性和提高可存取性是擴張其全球服務的關鍵指標,安全和資料保護也是首要任務,除此之外,還要能提供更多人員服務,擴大其影響範圍並提升服務品質。
本篇將深入討論醫療領域雲端安全的五項最佳策略,包含關鍵的考慮因素,以及確保雲工作負載盡可能安全和實踐合規。
以下是醫療實體從本地系統遷移到雲端技術時的五大關鍵安全考慮因素:
醫療機構應致力於保護患者資料,並遵守行業法規,無論是 健康保險可攜性和責任法案(HIPAA)、健康情況資訊信任聯盟(HITRUST) 還是 ISO 27001。理想情況下,將營運環境遷移到雲端不應破壞任何現有的合規性和評分標準。
然而,在實現這一目標有一定的難度。例如,稽核和日誌收集流程應符合相關的法規框架,並且不能暴露受保護的健康信息(PHI)。
雲服務提供商可能在一定程度上支持 HIPAA 合規性,並且他們通常會公開說明他們的責任範圍。例如, Google Cloud 服務的免責聲明指出:“Google Cloud 支持 HIPAA 合規性(在業務夥伴協議的範圍內),但最終客戶負責評估自己的 HIPAA 合規性。”
您應該採用統一入口來進行任何稽核與合規監控,其中包括了對於任何設定差異或設定錯誤的及時可見性,且能了解這些設定對設備的影響。合規發現應該定期進行審查並且再三確認,因為雲服務提供商不保證提供 100% 的可用性或無事故的服務水準。
對於大多數醫療機構而言,最令人頭疼的事情之一就是在每個螢幕上出現可怕的勒索軟體攻擊,要求支付比特幣以解鎖您的終端。或者可能是一些更為潛在(且致命)的情況,如不知不覺的資料盜竊。
雲端資料安全僅僅將患者資料上傳到 S3 並啟用加密是不夠的。傳輸任何一筆患者記錄之前,需要設置許多安全控制。例如,對於醫療設備和體內無線網路(嵌入在患者體內的設備)的資料安全必須要特別關注。顯然,保護此類設備避免遭受利用是至關重要的。
在雲端運行服務時,您應該審查所有相關的資料隱私考慮因素和加密控制,包括資料加密、公鑰加密、基於身份的加密、基於身份的廣播加密和基於屬性的加密。然後,採用一個同時實現安全且可控的身份識別框架(例如 OpenID Connect,這與 OpenID 不同,或 SAML)。
最後,您應確保設置了監控和稽核控制以保持機密性。您還應該擁有應對危機情境的緊急應變計劃,以減少災難性資料洩漏以及聲譽損失的風險。
希望採用雲端技術來運行雲端服務,不論是單一雲、混合雲或多雲的醫療機構,將不得不從下述二者中選擇一種作為主要的雲計算模型。每種模型都有各自的優缺點、能力和弱點,因此將這些考慮因素與業務的戰略目標相一致非常重要。
在基礎設施即服務(IaaS)模型中,雲服務提供商按需提供計算資源(硬體和軟體)。這是雲端運算的基本精髓:您無需購買自己的硬體,而是利用雲端的靈活性。然而,這也存在一個陷阱。可用的硬體或軟體可能不完全符合您原本地端基礎設施的標準。因此,實質上,您將需要學習如何在持續的基礎上正確配置、更新和維護這些資源。
因此,按照這種模型,您應該包含一個遷移期,在此期間需要滿足所有利益相關者的安全需求(例如 DDoS 防護、稽核合規性、加密、存取控制等)。從安全的角度來看,正確選擇支援您雲端戰略的解決方案也是一個主要的瓶頸,因為可選擇的數量與靈活度,使得相關的雲端設定時更容易發生設定錯誤(misconfigure)。
平台即服務(PaaS)模型結合了開發靈活性和完全受管理的服務元素。與管理伺服器和操作系統不同,開發團隊將應用程式碼推送進自動部署,接著部署到雲端。這裡的好處是成本效益和相對於 IaaS 更快的部署到生產環境,因為您不必管理大部分內容。
然而,需要注意的是,使用 PaaS 將鎖定在特定版本作業系統、平台和基礎設施支援上。這些平台上可能缺少某些功能。如果您的組織有獨特的合規性要求,您可能無法滿足某些分數。在遷移工作負載之前,請尋找支援相關合規性控制的 PaaS 供應商。
需要特別注意,因為它是醫療領域成功的關鍵指標。在雲端運行工作負載大大增加了可能的稽核的表面層。因此,當採用任何變更時,您應該重新設計您的稽核流程和程序。
尋找專用的醫療稽核框架,如Google Cloud Healthcare API,相比於普通日誌記錄,它確保更充分的稽核性能水準。請注意,資料往往需要從多個雲服務中獲取,這可能不像專用端點那樣安全。因此,必須監控所有相關的雲服務,以提供足夠的稽核性能證據,確保提供增加的容量支援,理想情況下盡可能以高效的方式“封閉稽核迴圈”。
採用新技術,如雲服務,會產生學習和調適差距。雖然主要的雲服務提供商都提供了全面的學習資源、文件、培訓課程等,但它們完全忽略了特定的使用情境。
例如,針對員工的醫療相關雲合規性和網路安全培訓完全由組織自行負責。這是一個關鍵的弱點,因為缺乏安全意識可能導致人為錯誤的增加和災難性的資料洩漏。
重要的是要能提供特定於醫療領域且最新的培訓,涵蓋相關的安全問題(並且不是通過無聊的教程進行)。建議要能找到基於互動和分組進行的網路安全培訓,讓參與者可以分享知識並審視現實世界中的事件。
我們討論了雲服務的固有優勢和弱點,可以清楚了解到,實現關鍵的安全性和合規性只是最低要求。在醫療領域實現合規性和安全運營的戰略性選擇對於組織的長期生存至關重要。
使用叡揚資訊代理的 Orca Cloud Security 平台,您可以在處理和管理上述醫療領域雲安全策略方面勾選所有的方框。讓我們更仔細地看看這意味著什麼:
Orca 支援所有與醫療領域相關必備的合規認證,包括 HIPAA、SOC2 和 ISO/IEC 27001。此外,它提供了對多雲合規性的高度支援,使得醫療機構可以完全了解其覆蓋範圍的缺口。而且,它可以在不安裝任何監控程式的情況下達到這些,這大大提高了採用率與涵蓋度。
醫療機構產生各種資料和資訊,應該保持私密和安全。使用 Orca Security 可以達到全面的覆蓋度,包含資料和在雲網路上是如何收集或傳輸,增加的雲端服務的可視性可以減少盲點並提高警覺性。立即查閱 Orca Security 的成功案例,了解現有醫療機構如何構建其防禦策略來確保資料隱私和合規性,以便您在自己的決策過程中考慮其方法。
在多雲或混合架構上運行不同的雲服務增加了配置錯誤和複雜性的可能性,更不用說要確保它們之間沒有資料洩漏。在醫療和公共衛生領域,操作和基礎設施成本的問題是,如果不加以控制,這些成本可能會飆升,還有與即時資訊共享相關的安全擔憂,例如進行遠程咨詢和遠程醫療期間的資訊傳輸。
可用的雲服務選項(IaaS 和 PaaS)皆具有各自獨特的特點,且帶來了安全挑戰。Orca Security 提供漏洞管理功能,全面檢視整個雲資產,找出安全漏洞和配置錯誤,有助於減輕風險。
醫療機構使用稽核作為持續驗證安全流程是否符合預期的方法。一次典型的掃描或滲透測試並不足以發現之前的問題,而且當稽核要求發生時,必須隨時提供證據。Orca Security 使稽核過程變得不那麼痛苦,因為它提供了可發現的事件軌跡,可以在需要時呈現。它提供了一條有益的防線,幫助組織確保他們盡最大努力保護其環境。
提升人員的安全意識變得尤為重要,因為醫療機構的組成不僅包括具資安專業知識的人員,還有許多醫護同仁對於資安了解不深。因此,有必要進行在地化的資訊安全人員培訓,提供淺顯易懂、結合最新時事的課程,以協助醫療機構定期進行資安教育訓練。
叡揚資訊提供多元且彈性的專業學習服務,其中包括「Secure Code Warrior 線上安全程式培訓平台」、「資安學程」以及「資安小文章」等,旨在為企業打造獨一無二的培訓體驗。這些服務不僅讓人員能夠有效提升資安知識,還能應對不斷變化的資安挑戰,使組織在數位環境中更具競爭力。
在雲端成功保護醫療服務是一項艱鉅的任務,尤其是當風險很高時。在評估採用雲端技術時,必須仔細權衡風險和回報,因為一旦出現問題,整個體系可能會崩潰。
有了正確的雲安全合作夥伴,如 Orca Security,醫療機構可以建立一個可靠的戰略道路通往雲端,同時保持安全和合規性。
想要了解更多關於 Orca Cloud Security 平台如何為您的醫療運營提供安全和合規性的信息嗎?立即向叡揚資訊聯繫,開始您的旅程。