醫療保健業如何因應BYOD風潮?

作者：Simon Howe，Acronis亞太區行動解決方案銷售總監

過去幾年中，已出現諸多針對行動設備與個人設備行業的爆炸性增長之相關探討。事實上，全球手機營收預計將達總價約1.6萬億美元；但即便規模如此，與美國醫療保健業預計約3萬億美元的成長相比，仍可謂是相形見絀。而此二大行業的並行發展，使 “自帶設備”（BYOD）趨勢在整個醫療保健機構越來越流行。
有鑑於此，美國聯邦醫療保險與醫療補助服務中心 (Centers for Medicare and Medicaid Services, CMS) 在去年推出的第二階段合規性指南中，對醫療衛生機構在電子通訊的使用上訂定了更嚴格的限制。BYOD一直是業界IT專業人士越來越關注的焦點，而相關規則不斷地更新更是為了加強保護病人隱私。為確保這些規則能徹底貫徹與執行，美國衛生及公共服務部的民權辦公室 (HHS Office for Civil Rights, OCR) 比以往進行更多的審查，而患者和機構卻不禁要問：“醫療保健機構又是如何處理其員工自行攜帶設備工作的問題？”
第二階段指南推出的時期正臨約有 85% 的醫院都允許員工自行攜帶和使用個人設備工作。這種雜亂無章的做法的確為IT團隊帶來許多的問題，因為他們再也不能確保所有敏感的患者資訊的安全性。員工透過智慧型手機發送電子郵件，所有記錄被儲存在iPad 中 - 如果沒有正確的程序與技術，可能會造成相當嚴重的後果。
如麻省眼耳機構於2012年9月一例，只因一台筆記型電腦失竊導致病人資料洩露，而被OCR罰款150萬美元。一台設備失竊的代價已是如此之高，想像每天有多少醫療保健機構的員工倚賴智慧型手機和筆電儲存和存取資訊。筆記型電腦在醫院環境中出現仍屬於預期中的狀況，但加上平板電腦和智慧型手機後，只會潛在性的拉高違反相關規定的機率。
既然如此，醫療保健機構要如何確保大量私人設備的湧入不會造成資訊安全品質的下降呢？
承認並適應BYOD的這項事實
就算醫院有足夠的魄力這麼做，禁用個人設備在現時也已不再是一個備選方案了。約有 70% 的IT專家和醫生們都已開始使用行動設備存取電子病歷，而且，隨著越來越多的醫療保健解決方案開始適用於無線和行動設備，我們可以期待未來BYOD將成為衛生服務專案的一部分。Gartner預測，醫療保健業無線解決方案的年度市場將在2014年高達17億美元，而到了2015年，將會有5億人使用健康保健的無線應用程式。
如此看來，似乎在短短的幾年之後，醫療保健行業將以個人設備取代機構專用的基礎架構。為應對此發展趨勢，醫療保健機構首先必須在面對 HIPPA相關合規時承認這是一項重大改變。有用的第二階段指南就是朝此方向邁出的一步，但似乎大多數機構都還尚未跟進。由一家非盈利組織 (ISC)² 所進行的調查顯示，許多醫療保健行業的IT專業人士覺得沒有足夠人力去應對相關的IT威脅，而有 59% 的受訪者表示，對於隱私權的侵犯是他們最大的隱憂。
他們的擔心是有道理的，因為可能只要一台錯放位置的iPad就足以為我們敲響警鐘。但這只是IT團隊為何必須開始設想如何處理相關問題的原因之一。行動設備上的敏感性資料是否能夠經由遠端移除嗎? 相關資訊是否能夠自動同步到另一個平台，以確保關鍵資訊不會丟失? 消費者也相當關注這些問題。資誠會計師事務所衛生研究院最近的一項研究指出: 39% 的消費者對於醫護人員自行攜帶設備帶到工作場所並儲存敏感性資料感到擔憂。這顯示確保BYOD的安全不僅是為避免罰款和維護病人資料安全，更涉及個人隱私問題。
醫療保健機構需要採取什麼樣的措施？
乍看之下，醫療保健行業似乎正卡在嚴格的規章制度和能加強協作、連結性與成果、同時難以避免的BYOD大趨勢之間不知所措。變化可能很快會來臨，但這並不表示 IT部門將無力面對，尤其是如果他們能遵循以下五步驟，便能為來日的BYOD安全性做好萬全準備:
1、導入行動設備管理 (MDM) – 步驟一是請員工在醫療保健機構網上註冊他們的個人設備，透過集中化設備管理協助降低法規監管風險。如此，所有相關人員都可透過檢視最精細的存取與使用細節，確保設備合乎相關規定。
2、採用行動檔案管理 (MFM) 確保資料安全 – 一旦機構對員工設備進行集中管理，就必須要仔細評估資料如何被存取，儲存和使用。任何資料登錄和輸出設備都需要高度加密，無論這些資料存放在何處或如何被使用，IT部門都必須能夠控制檔案是否可刪除、恢復、修改或共用。
3、檢查安全問題 – 如果IT部門能夠定期審核自己的網路，那麼OCR的審核也不會發現任何突發狀況，同時他們還可確保消除任何潛在威脅，並更新安全基礎架構。
4、解決方案應具備用戶友善性、簡單且易用 – 當您檢修網路安全時，員工必然會在存取所需資料時涉及某些混亂。透過定期舉辦培訓並使用直觀和介面友善的工具，醫療保健機構可讓每位員工從容應對相關的更改，並確保順利過渡。
5、緊急備案策略，應對最壞情況 – 在培訓員工如何適當而安全的在機構內網中使用私人設備時，IT部門也應建立一套能報告任何潛在破壞的逐步流程。如此，IT部門才能在個人資料暴露威脅產生時儘快做出回應。
隨著私人設備和Web應用在醫療保健行業中的廣泛應用，機構提前制定一套確保資料安全性的方案是至關重要的。否則，當威脅真的來臨，不僅會失去患者的信任，某些過程中還可能會產生昂貴的罰金。