数字进步与数字信任
几乎每个行业在追求创新的同时,都面临着一系列新的威胁。对于医疗行业来说,完美的世界可能意味着病人、医生及其供应链的无缝效率,减少人为错误,改善治疗,降低成本和优化系统。技术对医疗行业的积极影响毋庸置疑,但令人遗憾的是,数字化进程却滞后了,这在很大程度上可能是由于人们对数字系统缺乏信任,再加上高度敏感的信息(有时甚至危及生命)有可能被暴露。
尤其是现在,我们正在努力实践社会疏离,以抗击 COVID-19 的传播,远程医疗(又称远程会诊)也在显著增加,患者可以通过数字方式寻求医疗服务。远程会诊的连接性为医疗行业带来了巨大的效率价值。随着远程会诊领域的加速发展,受保护健康信息 (PHI) 和个人身份信息 (PII)作为电子健康记录 (EHR) 在云端与医疗服务提供商共享的情况急剧增加。然而,随着数字医疗领域的发展,网络犯罪分子也有了新的机会。从广义上讲,这扩大了网络安全挑战的范围,因为恶意欺诈者潜入医疗保健环境反击攻击并扩大其数字生态系统中的任何漏洞的风险增加了。
对许多公司来说,适应 COVID-19 带来的新运营环境也导致公司急于制定创新时间表和采用新技术,从而产生了新供应商和合作伙伴获取敏感患者数据的风险。
医疗保健部门需要提高效率
医疗保健行业一直对成本非常敏感,然而,随着我们在数字医疗保健领域向全民覆盖迈进,采用高效的安全解决方案才是明智之举。效率的量化标准是在固定预算范围内评估现有的安全能力。遗憾的是,尽管这些攻击事件不断增加,尤其是自大流行病爆发以来,医疗保健行业却猝不及防,没有做好充分准备。根据安全软件公司Irdeto的一项调查, 88% 的美国医疗技术领导者认为他们的组织没有做好应对网络攻击的准备。一旦发生网络攻击,机密的 PHI 和 PII 数据就会泄露,从而违反合规要求,如《健康信息可携性与责任法案》(HIPAA)和《通用数据保护条例》(GDPR),更有可能导致巨额罚款。
这些合规性要求无疑将首席信息安全官和隐私官的工作重点引向了保护 PHI 和 PII 数据上--由于医疗数据极其敏感,其利害关系大得令人难以置信。然而,像 HIPAA 这样的法案通常只是在抽象层面上发挥作用,并不能确保医疗机构拥有一个精心设计的安全架构,以安全的方式存储敏感的患者数据。导致该行业数字化发展缓慢的另一个因素是,安全和数字化方面的专家仍然非常缺乏,与其他行业相比,医疗保健行业的主要关注点并不在此。
这幅图景与一个拥抱数字化的国家相比如何?
放眼以色列,我们可以清楚地看到一个拥抱数字医疗创新的生态系统,各机构、医院和医疗保健组织都有兴趣尝试新事物,挑战陈旧的方法。在大流行病期间,以色列仅用两个月时间就为全国约一半的人口接种了 COVID-19 疫苗,这显然是医疗保健行业创新的一个成功案例。
点击此处了解更多有关 Israels 在医疗保健领域进行数字化转型的方法。
以色列之所以能做到这一点,要归功于全国的四个健康维护组织(HMO),它们为全国人口提供服务,并有能力在短时间内成功启动复杂的大规模进程,以色列的疫苗接种计划就是最好的证明,该计划被专家评为世界上最好的疫苗接种计划。
数字医疗服务的网络安全和技术挑战
约 60% 的医疗服务提供商已将数字服务作为重中之重,以满足大部分客户的需求;这些客户习惯于数字效率、在线共享信息以及佩戴可追踪医疗数据和存储信息的设备。值得一提的是,网络攻击的风险和影响的严重程度各不相同。此外,PII 和 PHI 的数据丢失也会导致医疗机构的资金链断裂。
医疗记录包含敏感的 PHI,不能轻易更改或删除。事实上,PHI 是极其宝贵的信息,在黑市上可以卖到高达 363 美元。对网络犯罪分子有价值的 PHI 包括
-
名称
-
地址
-
电话号码
-
社会保险号
-
生物识别数据
-
诊断图像
这就不难理解为什么患者和医疗服务提供者都缺乏信任。全球医疗机构受到的网络攻击呈上升趋势,其影响可能十分严重。为了继续追求效率和创新,我们需要采取适当的措施来保护患者、医生和护理人员的数据安全,智取那些心怀不轨的人。这并非易事,但一定会带来值得的好处。
但并非所有风险都与网络有关。七年前,网站 healthcare.gov 承诺提供根据《平价医疗法案》运营的医疗保险交易所。然而,由于严重的技术问题,该网站在预期的启动阶段就出现了问题,导致公众难以注册医疗保险,网站在短短两个小时后就崩溃了。而这一切,都发生在一个在推出之前就已耗资 5 亿美元的网站上。从该计划的失败中可以看出,挑战并不总是局限于网络威胁,也可以归结为纯粹的技术基础设施。7 年来,技术已经取得了长足的进步,但像这样的失败只会增加人们对数字医疗系统的不信任。大流行后的世界将呈现怎样的趋势,机构是否会重蹈覆辙,不再关心和投资不足?什么将被优先考虑?
旨在应对威胁的法规:HIPAA 和 NIST
要遵守保护 PHI 的法规,就必须将强大的隐私和安全策略结合起来。健康保险可携性和责任法案》(HIPAA)为患者数据保护设定了基准。HIPAA 适用于数字医疗公司,无论它们是作为供应商(业务协作方)还是作为医疗服务提供商(承保实体)签订合同。第三方,尤其是处理 PHI 的第三方,有可能使医疗公司面临数据泄露和违规的风险。除 HIPAA 外,美国国家标准与技术研究院 (NIST)还发布了一份名为《改善关键基础设施框架》的有用指南:提高关键基础设施网络安全框架》。
NIST 框架的重点是利用业务驱动因素来指导网络安全活动,并将网络安全风险视为组织风险管理流程的一部分。该框架由三部分组成:框架核心、框架简介和框架实施层。
NIST 的框架是一套网络安全准则,对大多数拥有关键基础设施的组织都适用。最终,该框架的实施层级可帮助组织查看和了解其网络安全活动如何与其需求、容忍度和资源相匹配。
HIPAA 安全规则和 NIST 框架都能大大降低医疗机构或医疗服务提供商的网络安全风险。在 IT 安全人员方面投入的预算和资源越多,当网络威胁不可避免地出现时,组织的应对能力就越强。
医疗保健生态系统的方法
在创新和保护之间找到平衡点非常重要。为了实现这一目标,我们可以采用一些工具和安全实践来打造一个更安全的数字医疗生态系统。毕竟,正确的做法会带来巨大的益处。医疗保健组织应采用以下一些关键做法来增强数字信任:
-
云安全合规性保证计划
-
第三方风险评估与合规计划
-
设计安全
-
全天候托管检测和响应服务
-
通过技术进行检测、监控和响应
-
定期网络复原力评估
COVID 可能不仅会改变医疗行业的思维模式,还会改变其投资决策。我们正处在一个拐点上,数字化流程和效率的提高已不容忽视。展望未来,新的大数据技术可能会通过匿名化和假名化层,在隐私和更好的数据洞察力之间架起一座桥梁。创新正在推动我们前进,成功与否取决于我们如何应对。
在我们的播客《监管科技报告》(The RegTech Report)的这一集中,您可以了解我们对医疗保健行业监管科技解决方案的更多看法 。
