COVID-19需要远程医疗，隐私安全如何保障？

行业利益相关者强调，远程技术的广泛使用为医疗保健行业带来了巨大的好处。但对医院来说，更加完善、妥当地部署这项技术以确保患者隐私和基础设施的安全，将是至关重要的。

“ 医疗机构开启远程办公，实质上扩大了攻击范围。现在，每个访问信息和资源的最终用户都是其攻击面的一部分。”

多维身份认证更加可靠

从机构的角度来看，在疫情期间使用连续的身份验证至关重要。Gordon解释说，虽然完成该操作的方式有很多种，但最常见的是多维身份验证。Microsoft表明MFA的使用阻止了高达99.9%的自动网络攻击。

NIST表示，“ MFA（有时也称为二维身份验证或2FA）是一项安全性增强工具，可让用户在登录帐户时出示两个证据（即凭据）。”

“大多数MFA方法都会对设备进行记忆。因此，如果您使用同一部电话或计算机回来，该站点会将您的设备标记为第二个维度。” NIST解释说： “在设备识别和分析方面，银行可能会表现得比较出色--例如：您如果要在20分钟后从世界另一端登录的话，大多数时候要做任何额外操作的人可能就是在试图闯入你的帐户。”

NIST表示，他们的目标是基于用户名+密码的安全保护机制添加另一个因素提升安全性，例如在初始登录请求后使用密码进行验证。MFA的使用可以有效减少未经授权的用户冒充授权人来访问敏感资源和应用程序的可能性。

在最近发布的有关远程工作的NIST咨询中明确指出，机构应“基于外部环境包含敌对威胁的假设”部署远程医疗相关的安全策略和控制。NIST所推荐的较为强大的身份验证方式首选就是MFA。

WALLIX补充说，机构应优先考虑访问控制问题，具体包含用户识别、用户活动轨迹及用户权限。虽然相关机构为此专门设计了特权访问管理解决方案，但从企业网络内部和外部监控其基础设施上的用户流量依然十分关键。

最后的一个关键因素则是最低特权原则。

WALLIX发言人说：“限制用户在最短时间内的资源访问量能够有效降低风险、保障安全。特权提升和委派管理使机构能更精确地控制可能需要更高特权的特定用户。”

连续的终端状态检查

WALLIX发言人表示： “员工远程办公时，其终端不再受到公司网络外围安全的保护，而终端特权管理使机构能够控制用户的管理和访问功能，即便这些用户的终端是在公司网络的安全保护之外。 ”

对于Gordon而言，那些非常依赖云和数据中心上的应用程序的机构应该进行连续的终端状态检查，对于那些迅速部署远程医疗支持并与内部和外部患者互动的人来说，使用此功能同样尤为重要。

“用户只有在最短的时间内访问最少的资源，才能最大程度地降低风险并确保安全最大化。”

此工具不仅能够帮助医疗机构验证用户身份，还可以同时监测医疗用户设备的安全状态。机构需要提前制定好设备和通信方法的最低安全要求，就可以让护士，医生、承包商或管理员无论在何处都能够更安全的访问应用程序、获取资源。

Gordon说：“许多较先进的医疗机构已经在设备上安装了应用程序，以确保设备处于监控状态下。如果用户或某人篡改该应用程序或配置，或者使用的设备不具备必需的功能，该应用程序就会以‘可能导致机构感染病毒或违反隐私法规’为由对这些设备进行标记。”

他补充说：“机构需要向更多用户敞开大门、允许这些用户访问内部和外部设备时，必须强制执行终端合规性，并将这些项目传达给员工。”

NIST建议有关机构可以通过使用加密技术来保护通信安全，通过对终端进行身份验证防止外部网络上的通信被窃听、拦截或修改。

分级的移动设备管理机制

在疫情期间，可以采用更广泛的BYOD（自备设备办公）战略，利用移动设备管理工具能够让个人设备及个人应用程序与医疗机构应用程序及医疗数据实现物理隔离。

Gordon解释说：“这样一来，医疗服务机构可以从根本上降低数据泄漏及某些设备被攻击或丢失的风险。与由医疗机构分发的设备访问权限相比，这种方式能够更快更便捷地提供远程医疗和远程访问功能。”

据NIST称，目前的当务之急是机构应该制定针对远程办公、远程访问和BYOD要求的安全策略。最佳实践策略包括机构允许的远程访问形式、可用于远程访问的设备、远程工作人员的访问类型以及如何管理和修补用于远程访问服务器。

此外，医疗服务提供商应该根据他们对不同类型客户端设备所允许的级别做出“基于风险的决策”。对于NIST而言，这里用到了一种适用于远程访问的分层方法，该方法允许“受控制最多的设备（例如，机构所有的便携式计算机）拥有最高级别的访问授权，而受控制最少的设备（例如BYOD移动设备）则具有最低级别的访问授权”。

严防死守院内的每一个人

正如许多安全报告所述，用户和内部人员是医疗行业信息安全的最大弱点。 Gordon强调，在当前的紧急情况下，机构需要在使用远程医疗时先行确保这些平台是为从业者设计的，而且要确保其安全性。

约95％的机构（包括医疗保健部门）将企业VPN作为保护通信的支柱，也将其当作实现远程访问安全性和合规性的最佳实践。

“医疗组织必须强制执行端点合规性，然后将这些项目传达给员工。”

对于Gordon而言，多个VPN平台可以同时提供MFA和终端合规性，同时确保“在加密设备间的通信会话，以及从业者的设备与应用程序之间的数据传输”过程中的连接保护。

从合规性的角度看，VPN是必不可少的，因为它可以确保数据被加密并且不会发送给错误的人，同时还可以防止中间人的攻击，确保敏感数据和机构数据在通过网络托管应用程序发送之前先经过机构资源中心。

Gordon解释说：“现代VPN解决方案能够有效保障用户的体验，让每个应用程序的数据在专属VPN隧道上流动。通过这种方式可以在没有任何用户干预的情况下，确保通信会话的安全，同时对数据进行监控。”

现代VPN有两大功能：一是配置锁定，它消除了用户会使设备易受攻击的配置操作；二是他们可以提供大部分自动修复功能。”

例如，如果用户所使用设备的防病毒软件较旧或其个人防火墙已经停用，那么先进的VPN会在用户使用设备前帮他自助获取或更新适合的解决方案。

虽然使用VPN保障网络安全是目前最为有效的方法，但对于信息的绝对安全至今尚无任何灵丹妙药。就在去年，美国有关部门针对一些最常见平台漏洞发布了一些警报。但是到2020年1月，依然有成千上万的机构未使用最新的补丁程序解决漏洞问题。

对于Gordon而言，疫情期间网络需求激增，大大增加了那些未打补丁的VPN的安全风险。

他说：“由于相当一部分的机构现在将VPN的使用范围扩大到更多的员工和分支机构，因此他们应该确保VPN软件是最新版本，从而消除潜在的VPN漏洞。”