减少医疗数据安全漏洞的五个要点

根据来自Bitglass的2014医疗数据漏洞报告显示，过去三年中，每年的医疗数据漏洞都超过了200个，被盗的医疗记录数量6倍于信用卡号被盗，医疗漏洞对医疗消费者来说是一个大问题，而且代价很高：每违反HIPAA法案一次罚款5万美元，或者365天中违反同样的错误就提升到150万美元。在一个著名的案例中，一名麻省总医院的工作人员不小心把文件夹留在了轻轨上，导致被罚款100万美元，因为文件夹中有192名病人的个人健康信息。

幸运的是，发生这样的事情时，医疗机构有强大的工具操作系统。而今天，新兴的安全技术，像云端访问安全代理服务( Cloud Access Security Brokers，CASBs)，既可以部署在用户侧，也可以部署在云端的安全策略执行点。

当把以下这些要点落实后，即使丢了设备或程序被盗，也能保障个人健康信息的安全。

1.建立全面的可视化和控制手段
新兴技术被称为CASBs，代理业务和企业云应用程序和移动设备，对关注合规审计本质的任何医疗机构都是必要的。他们的反向代理服务对用户是完全透明的，并着重提升检查和数据安全，一旦有情况发生，警报会立刻拉响，报告有不寻常的行为发生，这可解决了IT者们的一大麻烦。

2.控制信息流程
确保个人智能手机和平板电脑的安全比保障企业设备管理还难，因此注意力需从设备集中到数据的保护中。通过一系列的语法规则和个人健康信息识别，下载敏感信息到设备上变得可能。遵守HIPAA法案，就能动态地检测和把个人健康信息数据流转移到移动智能终端设备客户手中。

3.跟踪保护敏感数据
随着技术的发展，将一个数字水印技术嵌在敏感信息上，你就能跟踪信息，并能看到是谁下载了它和怎么处理的。当员工离职的时候，你还可以选择性的把企业数据从他们的个人设备里悄无声息的抹去，而移动设备管理就做不了这样的事。

4.配置一个单点登录（SSO）
SSO方案防止黑客利用设置常见密码的习惯，例如不同的服务应用使用同样的密码，或者在键盘下放一个便签。用户只需要登录一次就可以访问所有相互信任的应用系统，它可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制，一个登陆口令就能实现。这样医护人员就可以专注治病救人而不是登陆系统的问题。

5.必要的财政及行政支持
没有一家IT机构愿意挥霍金钱——医疗机构也不例外，云应用程序和移动设备既能节省时间又能赚钱，因此需要财政和行政的支持，任何安全方案都应当以最少的行政管理费用部署和扩展开来。

（本文译自 HIT Consultant 2014.11）