移动医疗工具对医院信息安全影响几何？

　　移动技术的广泛采用如火上浇油，使得医疗行业继续面临接二连三的规章制度的要求。随着医院和一些医疗企业相继采用移动解决方案，自带设备（BYOD： Bring Your Own Device）的发展趋势导致信息技术部门采取相应的办法，确保严格的安全措施，保证其依存性。鉴于临床医生和工作人员使用移动医疗工具（mHealth tools）的情况，2013年医院将需要采取更加强有力的综合安全措施。

　　根据Aruba网络公司对130家医院所做的一份调查，85%的设备对医生和工作人员在工作期间使用的个人设备提供支持。医院的工作人员和临床医生能在同一个设备上查收他们的个人邮件和他们的工作邮件，查阅电子病历，查询药物互相作用的信息，使用移动安全文件传输应用程序来查看实验结果或者放射图像，或者为晚上的外出找一个保姆。相较从前，工作和个人生活更加复杂的交织在一起，这些设备可以使我们随时获得我们所需的信息，把我们的工作和生活结合在一起处理。

　　这份调查也显示，在这些支持支持医生和医院工作人员使用个人装置的设备当中，83%的设备都对苹果的iPad提供网络支持。现在的智能手机和平板电脑使我们查收邮件，查看新闻，浏览社会媒体网站比以前更加容易，同时也可以对治疗方案传真签字审批。BYOD的发展趋势将会使医疗行业的从业人员联系更加紧密，对信息的获取也更加触手可及。然而，BYOD也提出了一些问题，医院如何能够在确保现有安全策略的同时，最大程度的使用好个人的移动设备。

　　大多数的医疗机构将会在来年采用BYOD，智能手机和平板电脑以如此高的比例被采用，以至于医院几乎是在被动的情况下来支持这些移动设备的。因此，当一个放射科医生，外科医生，或者肿瘤医生想要使用自己的设备的时候，信息技术部门有时候别无选择，而只能提供技术支持并且确保使用的安全。在很多时候，对于医院来说BYOD的采用是正面的，它能提供更加快捷的响应能力，增加了与医生的可接触性，而且全面的改善了对病人的护理。然而，对于负责提供医疗安全规章的信息技术部门的工作人员来说，他们面临着新的复杂的的挑战，即，既要为医疗专家们携带进入医院的自带设备提供技术支持，同时又要确保患者健康信息的保密性和安全性。医院的信息技术人员明白，这不仅仅是一个技术问题，BYOD的采用也要求对医疗规章政策的改变，以及对于使用移动设备的从业人员采取的额外的指导。

　　BYOD&HIPPA

　　医院信息技术人员应当注意的是，目前的美国健康保险携带和责任法案（HIPPA）是主要政策之一。HIPPA的关键要求是来确保信息的发放，传输和传递的安全性。逐渐增加的安全审查要求，包括对隐私保护的要求，对规章制度的要求，使得医疗组织不得不制定出更加严格的政策。而与此不相符的是，由于更多的联系和网络工作环境所增加的孔隙。比如，现在医生有能力通过社会媒体网站来共享治疗建议和真实数据，而同时又要遵守着这些越来越多的严格的医疗规章制度。个人所使用的应用程序也会构成危险，由于设备链接到医院的网络，因此临床医生安装的恶意程序可能就会盗取病人健康信息（PHI）。

　　主要的安全挑战在于移动设备的两用性。医生的一部被盗或者丢失的笔记本电脑很可能安装了安全措施，如全盘加密和身份验证。但是智能手机和平板电脑，尤其是个人的这些设备，为了使用的方便，快捷和获取信息的快速，会避开安装这些额外的多层次的安全软件。

　　对于BYOD来说，最大的新的威胁是最新Dropbox-style同步应用程序的使用。医生使用该程序，就好比在医疗机构的安全组织中破一个洞，这样把文件同步到移动设备，而这样做就潜在的开了一个新的渠道，通过此渠道患者的保密信息可能会泄露。许多医疗机构已经决定切断对这些同步工具使用的技术支持，直到有一种方法能够解决这些问题，使医院的应用程序能集中控制，粒状许可，同时集成身份验证服务。

　　那么你将准备让你的医疗机构如何处理这些安全风险呢？你会采取什么措施来延伸目前的网络安全，来覆盖这些移动医疗工具的安全漏洞？

　　移动设备是对医院信息安全构成威胁的最新矢量，但是针对这些威胁，还是有一些弥补办法，既能满足信息技术的要求，同时也能满足医疗从业者的需求。下面将提到的十点，会有助于你对BYOD策略框架的考虑，这将能帮助你满足HIPAA的安全要求。

　　满足BYOD安全要求的十个方法

　　1.回顾你目前的针对网络应用程序（如CRM，email， portals）VPN以及远程访问的安全策略。这些安全策略绝大部分，但并非全部，会适用于移动设备。

　　2.决定你将技术支持哪些移动设备，因为并不是所有的设备都满足医疗组织的安全要求，而且你也不能够检测所有可能的网络平台。同时，还要对每一个设备本身进行详细检查，确保它没有被越狱或者被根植。

　　3.明确地设定期望值。信息技术可能必须要彻底的改变医生们的心态。的确，安全方面增加了一些额外的安全层来护航，但是应当意识到一个安全漏洞会对网络信息造成什么样的严重破坏。

　　4.针对医院所有想使用自己的个人设备的工作人员，制定出清晰简洁的政策。每一位使用个人自带设备的人员都要在使用条款上签字。那些不能遵守要求的从业人员将不得在医院使用自己的移动设备。

　　5.强制性的设定个人身份验证码，或者客户认证。这样做可能会影响使用的方便性，但是这是防止丢失的设备泄露信息的第一道防线。

　　6.加强空闲时数据的加密。任何能够在移动设备上下载和储存数据的程序都应当能保护这些数据。如果PIN或者密码被破解，你要确保这些数据仍旧是安全的。

　　7.针对成千上万的可使用程序，你会允许使用哪些？有没有针对某一个或者某一类程序，要求不能在移动设备中使用的？这可能是一件很难办的事情，一些恶意程序或者流氓软件会在用户毫不知情的情况下对电脑造成严重的破坏。

　　8.对医生和工作人员进行培训，以确保他们能正确使用应用程序，使他们的移动设备能发挥其功能，并且警惕可疑活动。一旦你选择使用BYOD，就要提高使用效果。

　　9.移动设备已经成为信息流动的导管，因此需要找寻具有可审查性，可报告的，而且能集中管理的软件程序。现在许多程序都还不具备这个特点，但是具备这些特点的应用程序又会很容易追踪到潜在的漏洞。

　　10.考虑使用移动设备管理软件，它能提供安全的客户使用程序，如电子邮件和网络浏览器，通过无线方式进行设备程序的分布，配置，监控和远程遥控。值得注意的是，一些MDM供应商要求重写应用程序以支持他们的网络平台，所以你可以找一些自己的程序，不必在你选择的MDM解决方式中运行。

　　随着技术的进步，BYOD的政策和应用也会随之发展的。当你认为已经覆盖了所有的基础程序的时候，一项医疗从业者需要的新的必备mHealth应用程序又会打破它，因此你需要找到一些容纳该程序的方法或者简单的把它排除在可使用范围之外。没有一个唯一的解决方案能解决所有的BYOD问题，但是综合了政策，培训，最优方法，和第三方解决方案的方法能减少一些安全担忧。及早的明确总体目标，确立指导方针和政策才能打下基础，灵活地为安全要求提供支持，与时俱进。