医疗健康数据安全是一个多层面、永远处于变化之中的挑战——只要忽略了蛛丝马迹，代价高昂的泄密事件就有可能发生，弗莱切艾伦医疗公司(Fletcher Allen Healthcare)首席信息安全官(CISO)Heather Roszkowski如是说。

Roszkowski曾在军队服役11年，其专长就是信息安全，服役结束后她加入了柏林顿、佛蒙特州为基地的健康系统，她表示：“技术发展如此迅速，要跟上步伐，就要做好持久战的准备。”

Roszkowski强调：“每天都有新的病毒出现，你得对其快速反应。”人的因素是另一个持续的挑战，不论其是恶意的黑客、多管闲事的职工，甚至是由于过度劳累而忘了合适的网络协议的临床医生。

对未知恐惧

没有人是真正无所不知的，所以总有些事情能让她夜不能寐：“那是我所不知的事情!”

毕竟，Roszkowski表示：“我所知道的事情在我的心里，我有计划去应对它们。真正让我害怕的事情是我所不知的。威胁总是持续存在，从不同的角度——不论是病毒还是黑客，或是信息窃取，不论是从内部还是外部。”

因为一个失误或错过的信号就有可能使一个医院的大名见诸各大报端，美国卫生和公众服务部(以下简称HHS)人权办公室从那之后就在结算货币上追求潜在的数百万投入，Roszkowski注意到了一定程度的紧急性和临界度，而那堪比军队中的数据安全;她觉得处于“追求的是百分百”之中是非常关键的。

她表示：“我在军队中就从事数据安全工作，你不想让别人知道战士在战场处于什么位置。应用在医疗健康行业就是，我们不想让别人知道一个患者的情况，除非你是该患者的施治者。”

但是面对着这么多危险，这么多不同的类型，Roszkowski 说：“你不知道什么是你所不知的。”

就在近几年，弗莱切艾伦医疗公司在规模和复杂性方面的快速增长，是能够证明这些愈加明显的一个事实。

弗莱切艾伦合伙(Fletcher Allen Partners)在2011年成立，与佛蒙特州中部医疗中心(Central Vermont Medical Center)一起，是新的弗莱切艾伦医疗公司的母体机构。山普伦谷医生医院(Champlain Valley Physicians Hospital)和伊丽莎白镇社区医院(Elizabethtown Community Hospital)，就在纽约边境过去一点，也是这个处于初期的责任医疗组织(以下简称ACO)的另外两个新伙伴。

而且，弗莱切艾伦也与翠峦州(佛蒙特州的别称)健康信息交换部门——佛蒙特州信息技术领导(Vermont Information Technology Leaders)有过合作。

信息安全公司CynergisTek与弗莱切艾伦一起合作致力于改进其技术和顺应性，该公司的首席执行官Mac McMcMillan表示：“五年前，它们是一个医院，今天它们是学术医学中心的一部分。它们也有其它支持或合作的医院。它们是该地区的ACO，占了该州一半的健康信息交换。”

Roszkowski表示：“它一直处于快速发展状态，CynergisTek让我们了解到什么是我们不知的。这是搞清我们前路、轻重缓急以及如何保护我们的网络的第一步：找出我们的短处在哪里，以及能在哪里得到改进?”

采用数据丢失预防软件

有种特别有价值的技术提供了至少一定程度保证的是，弗莱切艾伦对数据丢失预防软件的采用，该软件能监测潜在的泄密，如有必要，还能探测、封锁误用的敏感信息。

McMillan说：“安全对于弗莱切艾伦来说，并不是马后炮。当该公司开始任何大型计划之前，他们都会在初始阶段考虑安全问题。这种做法对公司来说，可能节省了数百万的花费，还让项目更加顺利的进行。因为他们从不翻新改装。”

Roszkowski 表示：“事前就实施安全计划，要比事后进行容易一些。”

数字光处理器(以下简称DLP)技术新近的一个例子就是，发现并阻止了一起潜在的灾难性泄密事件：一位护士打算通过电子邮件将9000名患者的病历传送至自己的家中。

DLP软件是装在企业中的，“它发现和索引你所有的敏感信息所在的位置，然后，基于你指定的规则，按照它能生存的地方、活动的地方、传输的方式、能供它运行的设备等方面，它就能监测人们在干什么。”

他说，在这个例子中，这位护士“正在从事一些合法的研究。她需要一些患者信息的子集来支持自己的研究，这本身是很好的。”

“最初的期望是她会在医院做这个试验，当然，但是她也像大多数人一样，也经历过一段时间的挣扎和抉择。‘我会把它发送到我家，在家里做这个’，她并不是个坏人，她只是努力想把事情搞定。”Roszkowski补充道。

McMillan指出，非常幸运的是，“系统发现了，并且说‘你不能通过雅虎发送9000名患者的病历’，随之中断了传送。好意的用户也会偶尔破坏规矩，只是是无意的。除非在你的系统中采用合适的技术控制防范这些事情的发生，即便你拥有全世界所有的政策和程序，那都救不了你。”

毕竟，9000名患者病历泄密是件大事，而且可能需要成千上万美元去化解。

“如果仅这一件事发生，就会轻易的花掉三倍于它们的DLP解决方案的钱。”McMillan如是说。

虽然由于DLP多了一层警觉性，Roszkowski当然还是有许多让其坐卧不安的事情。就像不论在哪里，移动技术都是永恒的挑战。她表示，加密和PIN码在每个设备上都被使用，都有弗莱切艾伦的任何数据，这牵涉到一个更宽泛的设备管理策略，“我们正在尝试不同的方式。”

她也承认，首席信息安全官的生活有时候会类似一种“受控制的混乱”。

即使如此，Roszkowski仍然对工作充满热情：“对我来说每天都是崭新的，每天都有新的意义。那是我的团队和我理解的最重要的事情，那就是向着同一目标迈进。”

原文标题：CISO's biggest fear: 'what I don't know'

原文作者：Mike Miliard