在过去的一年，iPad成为了医院和医护办公室中医务工作人员的标准配置，就像挂在他们脖子上的听诊器一样无处不在。患者为了自身医疗需要而使用移动设备的频率也日益见长，患者门户网站允许他们自己安排医生约见、查看实验室数据、咨询约见期间遗忘的问题以及更多的事情——从药片到自己的手机(如果在很小的屏幕上他们斜着眼也看不清的情况下)。

加密术可加强移动医疗数据安全保护

随着越来越多的医疗供应商使用移动设备，越来越多患者使用互联网来促进治疗，伴随而来的是大量可接入患者机密信息的移动设备充斥在我们周围，而这是造成大灾难的因素之一。

由于这些设备的可携带性以及它们被错放的高频率，被盗或泄密对医疗机构来说就是一个安全噩梦。每一起这样的事件都最终成为了令人尴尬的头条新闻。最坏的情况下，它们意味着大量的罚款和没完没了的诉讼。医疗机构已经尝试过一系列的协议来降低人为原因造成的设备损失，但人毕竟还是人，总是避免不了忘记自己定下的事情。真正的解决方案是拥有一套技术策略，这样不论这些设备落入何人之手，都能起到保护数据的作用，而加密术是这个解决方案中最为关键的一部分。

我们的挑战在于创造一套加密策略，但是又不能增加IT团队现有的沉重工作量。这是可能的。没有必要再加半打或更多的活动项目来增加IT部门的任务清单，而这清单已经一英里长了。这与仙尘无关。

移动医疗虽然彰显了自身价值，但其设备和应用程序由于自身的安全问题以及显示出的与HIPAA的不协调，也为医疗健康IT团队带来了压力。这是最近的移动医疗峰会上最热门的讨论话题，而且这个安全问题现在已经蔓延到政府机构和行业协会了。医疗健康行业目前忙着为移动设备推荐HIPAA合规，而这项工作可能由人权办公室执行实施。FCC成立了移动医疗任务小组，由移动医疗IT行业高管、联邦官员和学术专家组成。

最初的建议在本质上并不是技术性的，相反是聚焦于合作以及拓展服务范围的。FDA已经作为强制执行权威的身份进入了移动医疗领域。随着移动设备变成基于患者健康状况进行监测、报告以及建议采取行动的工具，它们就会像其他医疗设备一样变成FDA的管理对象。对于移动设备安全问题的投入，这是很强大的智囊团，而且也是显示该问题的紧迫性的明显信号。

在这种情况下，加密就是自然而然的答案了，因为它能确保数据的安全，而不论记载数据的设备是否弄丢或安装的应用程序在云端。加密不仅能防止安全漏洞，还能通过降低或消除罚款、减轻信誉受损和其他负面事件的席卷，从而降低泄密事件的风险。举个例子，如果丢失或遭泄密的医疗数据已被加密，而且密钥是安全的，所在机构就不会被要求公布该事件。可以考虑将这种方式作为普通数据外泄相反的预防手段。

五大加密措施

然而，加密不是容易的事。一个有效的加密策略要求深度防御手段，可能包括：

通过VPN和/或SSL认证进行的传输中的加密，以便在网络拥堵时创造一个私人的安全通道经过

在原始数据储存环境中进行静态加密

在灾难恢复环境中进行备份加密

在应用程序本身中加密

在数据库中加密

达到上面的每一个目标都是高花费、有技术挑战并容易犯人为错误的，而这还只是讨论在传统的公司数据中心里做这件事，如果放在有着虚拟管理层的云环境中，难度还要大得多。尽管如此，还是有很多利用云技术的移动医疗应用程序被创建，不仅是出于技术原因，更简单的是为了控制成本。这对移动医疗安全性来说，是个双重灾难，因为云技术从来就不是安全的同义词，而且移动设备非常容易“长腿并离群走失” 。

破解云环境中加密困难原因

为什么在云环境中加密更加困难呢?要回答这个问题，让我们先搞清楚在传统的公司数据中心是怎么做此事的，那是一种我称之为“锁接”的方法。锁接加密包括购买并安装第三方的加密方案，作为横跨在机密数据和非特许用户之间的数据中心管理层。这些设备以及实施成本毫不夸张的就能花费成千上万美元，这取决于具体项目的范围。所以硬件的花费相当之高，而且还不包括后续维护和对密钥进行费时且易出错的人工管理所产生的“软费用”。加密确实意味着强大的保护，但很多人也没有意识到如果密钥丢失或破坏了，所有的数据就都丢失了。如果密钥被盗用，所有的数据就都落入了“坏人”之手，而且这种风险在云环境中被放大了——这也是如此多的移动医疗应用程序存活的地方。

加密在云环境中更为困难，是因为在云中将加密方案“栓”在无形的服务器结构上是非常棘手的。“锁接”模式在云环境中不管用，所以很多的机构尚未着手此事。像波尼蒙研究所这样的公司所做的研究显示，少有医疗健康公司能恰当的部署云环境中的加密。有太多的不符合要求之处，而且毫无疑问会有更正的压力：特别是如果OCR信守承诺，即Leon Rodriguez主任所承诺的“向患者计数器往后看”加入IT基础设施来支持患者病历系统。

话虽如此，但对医疗健康公司并不必然意味着一个痛苦的过程。在很长一段时间里，数据中心服务器供应商并没有为其医疗客户的管理要求分担担子。他们所做的就是绝对最小化，向医疗健康公司出售同样的基本服务，就如他们向那些出售小玩意、未经规范的公司提供的基本服务一样。为追寻答案，医疗健康公司该停下来采取措施，而现在是时候了。

管理中即将到来的变化当然会起到促进作用。终极综合法案明确表述：云供应商被视为合作伙伴，而合作伙伴必须为保护ePHI负责。这份共同责任将不仅成为医疗健康公司安排与其云供应商进行严肃会谈的主要动力，也将成为云公司为其客户应对加密挑战的主要推手。如果不能这样做，他们将承担不守规则或流失大客户的责任，或者是双重损失。云供应商在这个游戏中必须“脱皮”，但这种带着医疗健康公司更多强制要求的政策变化必将胜任此事。

云供应商如何达到HIPAA的加密要求?

支持利用云服务的移动医疗应用程序的安全需求，供应商需要创造“植入的加密”来更好的支持医疗健康客户的需求。这种模式要求将加密术植入云的基本构架之中，如建在SAN自身中，在静态时加密，同时也能消除性能瓶颈。这能自动确保当数据写入硬盘时加密，当从硬盘读取时数据解密。这种后台加密术能够确保，当硬盘移除或数组重置时不存在存储数据曝光的风险。这种模式同样消除了那种既费时间又易出错的人工密钥管理程序。如果使用得当，还能有效完成责任的适度分离，并消除某些流氓员工访问密钥或患者信息的风险。底线是该模式提供的加密术能让移动医疗更加安全，并符合HIPAA与加密相关的指令。

加密必须是内置的，而不是锁接的，而且应该是云供应商来领头此事。这应该是每一个云供应商的责任，而且它们能够利用现有的技术做好此事。这只需要一个承诺，一份意愿，来创建真正为医疗健康公司的需求设计的云服务。

原文标题：Demanding mHealth security in the cloud

原文作者：April Sage