深潜

网络安全圆桌会议记录,2016年秋季

美元摄影俱乐部

参加者:

  • 莱恩,Cognetyx执行副总裁
  • 费萨尔·南吉,Techumen执行董事
  • 大卫·芬恩 赛门铁克的健康IT官员
  • Santosh Varughese,Cognetyx总裁
  • 沃伦·布伦南(Warren Brennan),新健康分析联合创始人
  • 杰夫·拜尔斯,医疗保健潜水副主编(主持人)

为了清楚起见,已对本成绩单进行了少量编辑。

医疗保健潜水:大多数医院都知道网络安全和违规很重要。知道这是日常威胁,下一步的预防措施是什么?

大卫·芬恩: 医疗保健应该做其他受监管行业几十年来一直在做的事情。首先要提出正确的问题,而该问题尚未解决。今天,当IT之外的医疗保健领导者谈论网络安全时,通常的问题是:“我们如何保护自己并遵守所有这些法规,以及如何避免成为下一个标题?”问题应该是:“鉴于面临的风险,我们如何才能做出良好,理性的决策(业务和临床)?”如果您提出错误的问题,您总是会得到错误的答案,并且结果一贯地,反复地证明了这一点。通常,安全性只属于IT部门,而不是使其成为企业的战略职能。

遵从性和安全性的五个关键原则是治理。安全的信息访问;信息保护;基础架构管理;以及基础架构的安全性和保护。

别误会,在这些领域中有很多工具,培训和工作流,但是所有这些都始于治理,在本例中是信息治理。像任何其他关键资产(人员,资本或库存)一样,信息是一项战略资产,需要高层监督才能有效地将其用于决策,绩效改善,成本管理和风险管理管理。强有力的信息治理将把重点从技术解决方案转移到生成,使用和管理护理及相关过程所需的数据和信息的人员和政策。这意味着信息安全不仅是技术问题,而且是业务问题。您将始终需要围绕数据的安全工具,但是企业必须在IT和数据/信息中所有利益相关者的技术指导下评估和管理风险。

费萨尔·南吉: 我们必须改变治理的概念。如果我们考虑向安全员报告谁,通常是CIO。 CIO还负责运营,如果您将其与IT监控功能(即安全性)相结合,那么本质上您就会在鸡舍周围受骗。医院对CIO的操作需求异常庞大。那么需要做什么呢?总务顾问之间需要有一条虚线,因为您需要在IT运营和IT安全之间保持健康的张力,否则,您将失败。

Santosh Varughese: 一个关键的考虑因素是了解问题所在。在过去的几十年中,针对数据泄露的解决方案一直集中在网络上,并且显然效果不佳,我认为今天正在进行的过渡集中在数据保护上,因为在最近的几年中几年来,出现了一个称为“违反接受”的想法。换句话说,为保护网络而部署的所有技术和解决方案都是一种外墙,这被认为是防止漏洞的唯一方法,但效果并不理想。因此,在过去的几年中,随着数据量的不断增长,这种想法已经发展到了未来,我们必须了解这种发生数据泄露的情况。重点还应该放在实际数据上,一旦发生泄露,我们将如何保护实际数据,他们将这样做。您可以应用解决方案的唯一方法是查看新技术。 

医院的文化变革缓慢,就数据和网络安全而言,CIO和CMIO都注意到,预算并不总能提供强有力的预防解决方案。从他们的末端可以做什么?

费萨尔: 如果您真正考虑的是医院,那是一个非常开放的环境,医院的根本目的是提供出色的护理,以确保患者的安全。当您查看需要做什么时,CIO需要退后一步,了解他们的业务,并意识到基于业务,某些事情可以改变,而有些则不能改变。医院由几个主要要素组成。一方面,临床分娩。这从根本上来说很重要,因为临床医生会承受很大的压力,并且您不能破坏临床工作流程,因此,如果您正在考虑任何类型的安全性或服务工作,那么根本就不要破坏任何种类的临床工作流程。这是向正确方向移动变速箱的速度缓慢的原因之一。您也有临床管理的概念。临床管理是您实际管理提供这些服务的庞大的护士,医生和治疗师团队的方式。许多安全问题来自内部威胁。第三部分是临床研究的概念。这是一个基本问题,尤其是在学术医疗中心,那里人们对数据的处理方式非常松散,因为他们希望使用数据来找出将来如何最好地提供新的护理方案或测试药物。

这是一个非常复杂的系统。收入周期包括排放和转移您必须提取的信息。然后,您必须进行编码,如果您使用外部编码器,则必须清理编码提交的内容,因为CMS(要支付大部分费用)确实会给您带来罚款等等。然后,您便拥有了采购和人力资源部门,因此当您在一个非常开放的环境中考虑所有临床准备工作和业务流程时,必须确保从根本上说您不会打扰患者的护理或妨碍临床工作流程。这对于CIO所做的工作至关重要,无论您想采用什么工具和解决方案,您都必须意识到这是CIO十分困扰的基本问题。您的问题是成千上万个数据库中发生的大量信息自由流动。这是不容易的。

沃伦·布伦南(Warren Brennan): 我认为劳动力技能和态度已经发生了深刻的变化。我认为这是世代相传的转变。今天的人员和向他们导入的问题不包括数据保护或此类安全性。他们正在努力使用自己拥有的工具-其中许多都是过时的-他们自己的个人技能也过时了。我认为,影响医疗保健业的12至1700万人的学习曲线将是一个深远的问题。

桑托什: 你是绝对正确的。我相信医疗保健在某种程度上是脱节的。到目前为止,在过去的几十年中,我们一直在努力从纸质到数字化。但是,错过了一个基本想法:数据是医疗服务的组成部分。这是事后的想法。这就是为什么在交付和支持该活动所需的数据之间发生断开连接的原因。我们需要改变的一个基本思想是医疗保健的提供必须包括对提供医疗保健所需的数据的保护。交付之前提供给医疗保健系统的数据以及交付期间创建的数据。这种想法过去了,现在仍然没有。要理解这一点的重要性将需要几代人的转变,因为卫生组织的数据是一项战略资产,但我认为它不被视为一体。

费萨尔: 我实际上不同意这一点。也许是五年前,但现在在任何医院环境中(尤其是拥有十张床位以上),每个人都知道数据隐私从根本上至关重要。他们被罚款。他们认识到这一点,所以这发生在最近的两三年中。我认为已经发生了巨大的变化。问题是我们该怎么做。使用数据来提供更好的护理协议的想法是一项艰巨的任务,而新的业务模型ACA才刚刚开始推动这一想法。您拥有所有这些质量指标,这些指标将需要大量数据,而他们仍然不知道应该如何保护它。

桑托什: 不,我同意你的观点。我不是在谈论隐私方面。我知道一切都变得很清楚。我说的是数据的基本资产将以多种不同方式使用,而不仅仅是保护数据。我同意您的意见,但我是在谈论将数据用作数据或将其视为战略资产,就像其他资产一样:建筑物,设备等。在过去的几十年中,出现了脱节,现在只是在领导者的心中,才意识到数据是医疗服务的组成部分,并且必须以这种方式继续下去。我相信领导层中仍有很多人不将数据视为战略资产。但是你是对的。也许不是地震变化,而是到处都是一堆小震,地震变化在产生重大影响之前还有很长的路要走。但是我在隐私方面同意您的看法。

费萨尔: 您的意思是两件事。一是人们不了解安全性。我认为这是不对的,但是我想您说的没错,就是作为战略资产的信息只是在医院才被认可,我同意这一点。 

提供者需要了解医疗保健专业人员之间未来数据共享的含义吗?

沃伦: 相互的问题是,他们将在哪里学习需要知道的知识?这是一个处于领导层的行业,部分行业是临床的,并且在管理,管理学校和教育行业中越来越多。我并不是要贬低他们,但是我断言,如果有的话,很少有该课程中的教育内容正在为今天的这类人做准备。

桑托什: 我完全同意这种说法。

沃伦: 该行业可能是他们将要接受教育的地方。在第一批有意义的拥有安全管理人员的一代中,供应商社区可能是其中大多数人的来源。

莱恩: 有必要对数据安全的当前状态以及医疗保健中发生的漏洞数量进行更多的教育。从医院首席执行官的角度来看,数据泄露是最难处理的事情之一。不同于许多其他公司,客户只是帐号。当医院PHI被盗时,它将包括几乎每位员工,医师,董事会成员,当地领导以及他们所有家庭的医疗记录。这不像是关闭信用卡。 PHI数据可用于创建完整的身份,伪造护照,窃取健康服务和勒索患者数年。在某个时候,患者将要求医疗保健提供者对这些违规行为负责,并且不再接受足以造成数年后果的监测服务。然后,提供者将不得不做出艰难的决定,以解决每一个越来越严重的问题所需的资源。  year.

哪些新技术或旧技术可用于数据保护?

费萨尔: 您必须拥有广泛的访问权限。您不能简单地说“这些是我的应用程序”。互联网使这一切破裂。数据丢失的方式有很多,并且有新的数据使用途径,尤其是通过基于Web和云的应用程序,因此您可以说很多工具都无法使用。大多数医院并没有意识到很多人可能拥有数据特权,因此他们不应该拥有数据特权,而特权管理(拥有王国的钥匙)不应超过少数人。取而代之的是,我们发现成千上万的人拥有通往王国的钥匙,并且您必须使用允许您正确管理它的工具。安全信息事件管理系统是一些无法正常使用的工具,因为它们操作笨拙且非常复杂。它们需要简化。另一个领域是云应用程序。大多数医院甚至都不知道哪个人在使用哪个云应用程序,因此他们在将大量数据转储到云中的同时并未意识到他们可能没有与该云供应商的BAA。这是一个问题,因为每个部门都想要一个专门的Web应用程序,现在它是一个基于云的应用程序。其中许多尚未经过审查或分析,因此,医院实际上并没有一个流程-无需工具即可确定谁在使用哪个云应用程序以及何时使用。我们终于有了新兴的工具,称为云访问安全代理,正在对此进行探讨。但是,仍然存在一个巨大的问题,那就是要为太多的人提供太多的访问权限,以获取太多的数据。如何解决这个问题有点复杂,它既需要过程理解,也需要限制与不应该有数据的人的互动。

你处理违规了吗?你学到了什么?

沃伦: 我可以发表一个外部声明。这是一个公共案件。马里兰州的大型多医院系统在其六,七家医院发现了勒索软件。完全关闭了其EMR和通讯,他们试图在此期间恢复书面操作。问题在于,唯一想起纸张系统的人都是45岁以上。 

费萨尔: 我在医院系统中工作,他们有一个非常简单的漏洞。这是一个共享点站点,管理不当,您丢失了很少的数据,但患者很多。立即发生的是一连串的损失。制定计划很重要。确保您知道您的营销和传播团队已经准备好模板。响应特别重要。您想提前承担责任,并充分解释正在发生的事情并保持透明。我认为,不要失去任何患者信心很重要,因为一旦您开始失去患者信心,您就会失去客户。

患者是否真的注意到了这些违规行为,对信心的实际影响如何?

沃伦: 在我在马里兰州参考的特定案例中,存在一个重大问题。许多患者回来说:“我想退出系统。我不想存储我的数据。”出现了新的问题。

艺术: 我同意沃伦。三个月前,大型卫生系统发生了约730万条记录的数据泄露,并且这些记录被泄露,患者收到了有关他们将提供监视服务的通知,但他们认为没有任何数据确实被偷了。一周之内,我女儿告诉我,她已经使用所有记录信息向信用卡提交了多次申请。她向我明确表示,她不会回到那个卫生系统。毫无疑问,将会有很多患者被勒索被盗信息,并且会有很多被盗身份证。我没有和这个大型社区的任何人进行过交谈,这些人都没有受到该漏洞的影响,这些漏洞既不引起人们的关注,也对他们是否要回到自己的卫生系统没有疑问。

沃伦: 从操作方面。从数据分析的角度来看,我是医疗保健行业的供应商。我们都以一定的技巧和精确度签署了BAA,从历史上看,对于专业服务,赔偿条款通常约为两倍。因此,如果我为您执行了价值20,000美元的工作,那么您将面临40,000美元的风险。我在整个行业得到了重要的证据,在这里,上级组织-卫生系统-要求赔偿条款从系统中任何位置的任何供应商起价为500万美元,因为违规的成本大约为400万美元,这就是将改变供应商和提供商之间潜在的重要关系。

您认为有意义地减少似乎每天发生的黑客入侵需要多长时间?

大卫: 好吧,在我的书中,这是一个棘手的问题,但很好。在可预见的将来,黑客攻击和攻击将不会减弱。例如,我们可以减少成功的数据泄露和勒索软件攻击的次数吗?是的,我们可以通过对最终用户进行一些培训,在组织级别使用一些其他工具和/或服务,以及对医疗保健中的安全和风险管理功能进行适当的人员配备和培训来相当快地做到这一点。这将需要董事会和高级管理层的参与和赞助。我可以告诉您,我们已经在这两个领域以最小的投资取得了成功。它只需要关注焦点和组织意愿就可以做出改变。然后,您必须开始设计和实施安全性,并将其作为由业务需求驱动的策略-大概需要3到5年的时间。但这就是真正的变化。当IT和信息管理成为企业的战略功能时。没有人可以让他们的建筑物免维护,但是数据与设施一样重要。我想说这很重要。数据实际上代表了患者,没有人让患者在其医院或诊所处于无人看管或不受保护的状态。您为什么不以同样的程度保护他们的信息?

跟随 推特

提起下: 卫生IT