可以理解的是,他們一直對可能使數據處于風險中的新興技術(其中包括云計算技術)持懷疑態度。
但時代在變,醫療行業也在發生變化。2018年1月,英國最大的醫療服務提供商National Health Service(NHS)被允許擴大其采用云計算服務的應用范圍,以存儲其患者數據。
根據“2018年Netwrix云安全深度報告”,84%的醫療機構已經將數據存儲在云中,但NHS是第一個進行這種正式擴展的醫療保健組織。
盡管NHS的決定是受到云計算優點所驅動,例如更好的數據安全性,降低的運營成本,但從IT人員角度來看,其實際應用情況還有待觀察。
Netwrix公司的調查表明,只有19%的企業表示在采用云計算服務之后,他們的安全性有所提高。事實上,大部分受訪者都不確定云采用對其業務安全產生的影響,或者認為此舉實際上降低了他們的整體安全態勢。
醫療保健行業主要關注的頂級云計算問題
2017年,惡意軟件的滲透和攻擊持續增長,勒索軟件是最常見的攻擊之一。據報道,在全球,組織平均每40秒就受到一次勒索軟件的襲擊。醫療保健提供商是惡意軟件的主要目標,這些惡意軟件其中包括NotPetya,WannaCry和Locky等變種。
勒索軟件WannaCry對NHS的襲擊導致37%的業務受到影響,并取消了數千個醫患預約和診療業務。盡管NHS沒有支付勒索贖金,但是在取消預約、聘用IT顧問、系統停機,以及聲譽和組織宣傳方面,確實損失了多重隱性成本。而調查研究反映了這一點,61%的醫療機構擔心惡意軟件滲透。
該調查還發現,醫療保健是唯一一個將數據加密作為頂級云端安全問題的行業。醫療合規標準通常要求數據加密。
其副作用是數據加密可能讓醫療保健提供商的云賬單成倍增長。因此,較小的醫療機構(尤其是私有醫療機構)往往會抵制云遷移,或者至少避免將需要受到保護的健康信息(PHI)存儲在云中。
醫療保健組織將內部員工的行為列為云安全的最大風險,超過50%的受訪者表示人為因素起著最重要的作用。盡管如此,只有21%的醫療保健機構表示完全了解他們的IT員工在云中所做的工作,卻很不了解業務用戶的活動。
事實上在調查研究中,所有行業中對內部參與者的總體可見度是最低的。很多企業認識到了這種不匹配,但其中大多數沒有得到必要的管理支持來解決這個問題。只有一半的受訪者表示他們獲得組織最高管理層的支持來實施云安全措施。
提高云計算安全性的措施
不到三分之一的受訪公司表示計劃增加安全解決方案,以提高其應對云計算風險的能力。組織高級管理人員的支持不足,使得IT預算無法購買額外的安全軟件或招聘經驗豐富的云計算專業人員。相反,他們不得不采取成本更低的措施,例如改善員工培訓和加強安全政策。
表面上看,這些策略可能看起來像是對與員工相關的高度安全風險的有效回應。然而,用戶活動的可視性差使其無法衡量成功,大多數IT團隊根本無法確定改進的培訓和更嚴格的政策是否有所成效。而且,如果組織依靠員工來做正確的事情的話,那就需要對員工進行相關的技術和安全的培訓。
而組織采用的長期安全策略是不可替代的。
云安全趨勢
NHS的云計算決策預示著醫療行業采用云計算活動的增加,無論安全問題還是高級管理層的支持不足。大約69%的被調查組織已經計劃將更多數據轉移到云端。
目前,醫療保健仍然是調查中的一個技術保守行業。只有23%的組織計劃采用更廣泛的云服務。直到云計算提供商開始提供更先進的方法來解決數據安全問題,并幫助進行合規性審計時,大多數受訪者將繼續對云采用持謹慎態度。
總而言之,就云采用而言,NHS公司對于醫療保健行業的云應用是一個例外。在將其受保護的健康信息存儲在云中之前,大多數私有醫療服務機構都在等待條件成熟。
而錯誤的代價太高,尤其是當大多數IT部門不能全面了解用戶活動時。數據加密成本的降低可能會鼓勵小型醫療服務機構采用云計算服務。
目前提供的云安全服務已經超過了許多中小型公司的能力,并提供足夠滿足合規審計人員的安全保護。
總之,隨著云安全技術和措施的成熟,越來越多的醫療服務提供商采用云服務。云計算更容易遵守法規,并將有助于醫療機構更專注于服務病人。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號