五大加密措施

然而，加密不是容易的事。一个有效的加密策略要求深度防御手段，可能包括：

通过VPN和/或SSL认证进行的传输中的加密，以便在网络拥堵时创造一个私人的安全通道经过

在原始数据储存环境中进行静态加密

在灾难恢复环境中进行备份加密

在应用程序本身中加密

在数据库中加密

达到上面的每一个目标都是高花费、有技术挑战并容易犯人为错误的，而这还只是讨论在传统的公司数据中心里做这件事，如果放在有着虚拟管理层的云环境中，难度还要大得多。尽管如此，还是有很多利用云技术的移动医疗应用程序被创建，不仅是出于技术原因，更简单的是为了控制成本。这对移动医疗安全性来说，是个双重灾难，因为云技术从来就不是安全的同义词，而且移动设备非常容易“长腿并离群走失” 。

破解云环境中加密困难原因

为什么在云环境中加密更加困难呢?要回答这个问题，让我们先搞清楚在传统的公司数据中心是怎么做此事的，那是一种我称之为“锁接”的方法。锁接加密包括购买并安装第三方的加密方案，作为横跨在机密数据和非特许用户之间的数据中心管理层。这些设备以及实施成本毫不夸张的就能花费成千上万美元，这取决于具体项目的范围。所以硬件的花费相当之高，而且还不包括后续维护和对密钥进行费时且易出错的人工管理所产生的“软费用”。加密确实意味着强大的保护，但很多人也没有意识到如果密钥丢失或破坏了，所有的数据就都丢失了。如果密钥被盗用，所有的数据就都落入了“坏人”之手，而且这种风险在云环境中被放大了——这也是如此多的移动医疗应用程序存活的地方。

加密在云环境中更为困难，是因为在云中将加密方案“栓”在无形的服务器结构上是非常棘手的。“锁接”模式在云环境中不管用，所以很多的机构尚未着手此事。像波尼蒙研究所这样的公司所做的研究显示，少有医疗健康公司能恰当的部署云环境中的加密。有太多的不符合要求之处，而且毫无疑问会有更正的压力：特别是如果OCR信守承诺，即Leon Rodriguez主任所承诺的“向患者计数器往后看”加入IT基础设施来支持患者病历系统。

话虽如此，但对医疗健康公司并不必然意味着一个痛苦的过程。在很长一段时间里，数据中心服务器供应商并没有为其医疗客户的管理要求分担担子。他们所做的就是绝对最小化，向医疗健康公司出售同样的基本服务，就如他们向那些出售小玩意、未经规范的公司提供的基本服务一样。为追寻答案，医疗健康公司该停下来采取措施，而现在是时候了。

管理中即将到来的变化当然会起到促进作用。终极综合法案明确表述：云供应商被视为合作伙伴，而合作伙伴必须为保护ePHI负责。这份共同责任将不仅成为医疗健康公司安排与其云供应商进行严肃会谈的主要动力，也将成为云公司为其客户应对加密挑战的主要推手。如果不能这样做，他们将承担不守规则或流失大客户的责任，或者是双重损失。云供应商在这个游戏中必须“脱皮”，但这种带着医疗健康公司更多强制要求的政策变化必将胜任此事。