美國西奈山醫(yī)療中心（Mount Sinai Health System）首席信息官、醫(yī)學(xué)院IT院長Kristin Myers正在將這家位于美國紐約的醫(yī)療提供商帶到云端，同時(shí)把數(shù)據(jù)保護(hù)和安全作為重點(diǎn)的優(yōu)先事項(xiàng)。 

Myers擁有昆士蘭科技大學(xué)的法律和IT學(xué)位，以及哥倫比亞大學(xué)公共衛(wèi)生高級(jí)管理碩士學(xué)位，2019年重返校園，在卡內(nèi)基梅隆大學(xué)獲得了CISO認(rèn)證，期間她萌生了對(duì)西奈山醫(yī)療中心網(wǎng)絡(luò)安全策略進(jìn)行重建的想法。

“這個(gè)項(xiàng)目持續(xù)了六個(gè)月的時(shí)間，非常具有挑戰(zhàn)性，但我從中學(xué)到了很多東西，讓我作為一名CIO真正地去了解一個(gè)網(wǎng)絡(luò)項(xiàng)目應(yīng)該包括什么，以及我們需要達(dá)到怎樣的成熟度才能向前發(fā)展?！?/p>

這促使Myers采取了很多安全舉措，為把西奈山的業(yè)務(wù)和臨床應(yīng)用遷移到云端做好準(zhǔn)備，包括在2021年5月聘請了首席信息安全官Rishi Tripathi，使其成為西奈山醫(yī)療中心云轉(zhuǎn)型執(zhí)行指導(dǎo)委員會(huì)的成員。

“有些人可能認(rèn)為，你把應(yīng)用遷移到云端是安全的，但這是錯(cuò)的，”Myers表示，她認(rèn)為CIO和CISO之間的關(guān)系極其重要。“在進(jìn)行轉(zhuǎn)型的時(shí)候，你必須要確保安全性。”

將西奈山帶到云端

Myers從2021年下半年開始整理適合于云遷移的業(yè)務(wù)案例，這個(gè)過程“需要相當(dāng)長的時(shí)間，因?yàn)椴⒎且磺卸荚跀?shù)據(jù)中心的技術(shù)預(yù)算范圍內(nèi)，還會(huì)影響到其他方面的預(yù)算，例如設(shè)施預(yù)算。”

為了評(píng)估這些影響，Myers和她的團(tuán)隊(duì)對(duì)數(shù)據(jù)中心成本進(jìn)行了自下而上的預(yù)算項(xiàng)目分析，并讓財(cái)務(wù)部門審查了他們的業(yè)務(wù)案例。

“當(dāng)我們與設(shè)施團(tuán)隊(duì)進(jìn)行審查時(shí)，分析過程非常清楚，”她和由CEO監(jiān)督的西奈山企業(yè)風(fēng)險(xiǎn)委員會(huì)一起著手評(píng)估“所有三大”云提供商，最終選擇了微軟Azure，以及埃森哲的托管服務(wù)。

她說：“對(duì)我們來說，重要的一點(diǎn)是微軟對(duì)數(shù)據(jù)安全的理念，以及微軟在醫(yī)療領(lǐng)域?yàn)榭蛻籼峁椭氖袌龆ㄎ??！?/p>

Myers還將一些業(yè)務(wù)應(yīng)用遷移到了Oracle的云上，包括Oracle Financials、Supply Chain、HCM Talent Management和Learning，但對(duì)于其他業(yè)務(wù)和臨床云應(yīng)用來說，“我想做到更多，例如不可感知?！?/p>

西奈山醫(yī)療中心的云遷移還處于早期階段，Myers的目標(biāo)是在三年內(nèi)將他們大部分的應(yīng)用都遷移到云端。

西奈山醫(yī)療中心的電子健康記錄系統(tǒng)——Epic——將成為遷移到微軟Azure的應(yīng)用之一。自Myers加入該組織醫(yī)療，就在中心的各個(gè)方面部署了Epic，并計(jì)劃至少在2025年之前擴(kuò)大部署規(guī)模。

“這似乎是沒有終點(diǎn)的，但當(dāng)我們收購或者合并組織的時(shí)候，就必須確保我們能夠把所有醫(yī)院或者設(shè)施連接到主中心那里。”

西奈山醫(yī)療中心已經(jīng)在使用多云環(huán)境進(jìn)行基因組學(xué)研究，雖然他們采用了同類最佳的解決方案，但是Myers說，“對(duì)我們的業(yè)務(wù)和臨床應(yīng)用來說，制定多云戰(zhàn)略是沒有意義的”。

她這么說部分原因在于人才問題，因?yàn)樵诙嘣骗h(huán)境中，必須維持著不同、但卻有重疊的技能集合，“想想人才保留和能夠找到合適的團(tuán)隊(duì)成員來管理這些環(huán)境，顯然我們希望把80%-90%的應(yīng)用都放在一個(gè)廠商那里?！?/p>

為量子威脅做好準(zhǔn)備

隨著西奈山醫(yī)療中心把大量的IT運(yùn)營遷移到云端，數(shù)據(jù)安全就成為了Myers首要考慮的因素。

她說：“必須在整個(gè)遷移過程中構(gòu)建安全性，只是將應(yīng)用遷移到云端并不意味著對(duì)應(yīng)用實(shí)施了保護(hù)，除非你加密了數(shù)據(jù)?！?/p>

不僅僅數(shù)據(jù)是否加密，還有加密的方式。那些使用當(dāng)今計(jì)算設(shè)備可能需要數(shù)年時(shí)間才能破解的加密算法，對(duì)攻擊者來說，使用量子計(jì)算可能幾秒鐘就破解了。

雖然量子計(jì)算目前仍然處于短暫的實(shí)驗(yàn)室實(shí)驗(yàn)階段，但是終將有一天，量子計(jì)算機(jī)會(huì)得到更廣泛的應(yīng)用，給人們帶來更加顯而易見的威脅。例如，美國白宮正在認(rèn)真對(duì)待量子計(jì)算帶來的威脅，在2022年1月發(fā)布了一項(xiàng)行政命令，要求國家安全系統(tǒng)運(yùn)營商更新他們的安全計(jì)劃和系統(tǒng)以防范量子威脅。

醫(yī)療組織不受相同要求的約束，但卻面臨相同的威脅：如果他們的數(shù)據(jù)沒有得到充分的保護(hù)和加密，那么當(dāng)量子計(jì)算機(jī)成為現(xiàn)實(shí)時(shí)，數(shù)據(jù)終將會(huì)被破解。

Myers認(rèn)為，量子威脅將在未來三到五年內(nèi)出現(xiàn)?！斑@聽起來似乎需要很長時(shí)間，但實(shí)際上并非如此?！?/p>

為了做好準(zhǔn)備，她聘請了谷歌子公司Sandbox AQ來盤點(diǎn)西奈山的加密系統(tǒng)，幫助他們實(shí)現(xiàn)量子安全。

Sandbox AQ提供了一種審核工具，可運(yùn)行在企業(yè)內(nèi)部網(wǎng)絡(luò)上，用于發(fā)現(xiàn)所有正在使用的加密系統(tǒng)，然后提出升級(jí)這些系統(tǒng)的建議。

Myers預(yù)計(jì)，將在年底之前明確有必要采取哪些緩解措施：“如果我們現(xiàn)在就開始這項(xiàng)工作，我們就會(huì)處于一個(gè)有利的位置，在這些漏洞被利用之前將其解決掉。”

將其視為對(duì)西奈山 IT 資產(chǎn)及其患者數(shù)據(jù)的預(yù)防性護(hù)理。