https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

哈佛醫學院從端到雲:門鎖只解決一成問題,記得鎖門需花九成功夫

2011 / 10 / 20
吳依恂
哈佛醫學院從端到雲:門鎖只解決一成問題,記得鎖門需花九成功夫

哈佛大學是位於美國麻薩諸塞州劍橋私立大學,亦為常春藤的成員之一,其醫學院(HMS, Harvard Medical School)亦在全美排名第一,可以說是公認相當優異的學院。該院的資訊長John D. Halamka MD提到,該校有18,000台電腦,6,000台伺服器,3,000名醫生和300萬筆病人的電子醫療記錄,因此他們經手處理的流量很大,皆是Petabyte級的巨量運算資料。


美國每年在醫療保健上的花費相當於四倍日本公民花費的金額,但卻還是有4,000萬人沒有醫療保險,但麻州卻是少數幾個100%公民都享有醫療保險的州,而有將近半數的醫生都採用電子式的醫療病歷(EMR, Electronic medical record)來記錄(美國全國的平均數據是20%),但越多的電子病歷當然也會有越高的風險。

維持巨量運算環境並不容易,再加上近年來行動裝置的盛行,哈佛醫學院如何一方面運用行動裝置提供更有效率的業務應用,一方面處理資安事件的威脅。先從三個真實的慘痛經驗談起。

 

 

疑似資料外洩事件

 

去年,HMS發生了三件疑似資料外洩的事件。按照美國聯邦法的要求是,如果有超過五百筆病人的姓名被洩漏,則必須要盡可能的透過媒體,像是紐約時報或電視台等等,通知每個病人。Halamka相當為難的說,這對CIO來說,真是一個極大的挑戰。不僅有違反相關醫療法律之虞,按照規定,每年醫療資訊的外洩事件的處理費用也極其昂貴,包括通知可能被資料外洩的當事人、購買他們的信用監控服務、通知聯邦政府、媒體等處理費用,光是「可能」外洩,計算起來,每筆資料的後續處理費用就要282美金。

 

真實慘痛經驗

1.筆記型電腦被竊

HMS打算建置一個私有雲,而在這個過程中,必須要將電子醫療記錄從舊系統轉換到新系統,他們也因此成立了一個專業團隊。這些電子醫療記錄包含了病人的資料,包括姓名、出生年月日、住址、社會安全號碼等。其中的一個技術專家,將一些log資料放在個人筆記型電腦裡,鎖在車上開回家,過了一晚,卻發現車窗被打破,筆電被竊,於是504筆病人的資料就這樣不翼而飛。把資料複製到自己的筆電上帶回家已經違反內部政策,這並非技術問題,而是人的問題。

2.USB隨身裝置管理

哈佛醫學院主要的教學醫院貝斯以色列女執事醫療中心(BIDMC, Beth Israel Deaconess Medical Center)為一國際知名醫療中心年營業額可達百億美元每年為超過80萬名的病患提供醫療服務總共約有六千名職員。團隊當中,有一名藥劑師的主要工作,是分析醫療的抗生素施放量是否適當,於是他下載了病人的姓名、出生日期、診斷、藥品,到一個USB隨身碟裝置,Halamka提到,該名藥劑師聲稱是要為自己的分析儲存副本備份。而這名藥劑師,隨後離開BIDMC前往加州洛杉磯,那裡並不似麻薩諸塞州的法律-所有處理醫療中心的筆電都必須全硬碟加密,於是在這名藥劑師將資料存到位於加州的筆電上之後。一天過去,筆電被偷了,2,000筆病歷資料就這樣消失了,又過了一天筆電又被發現了,但裡頭的資料早已被清空。

3.委外管理

這起事件發生在放射線工作站的單位。如同一般的醫院一樣,HMS也採購設備,不過是由放射線工作站單位採購,並非由資訊部門直接購買,而作業系統內嵌在器材裡,於是設備商負責服務。問題就發生在於,負責服務的設備商,關閉了防毒軟體、更改了防火牆設定以便於連網。但不幸的是,該裝置中了病毒,造成了資料外洩的疑慮,而又根據法律,HMS得通知所有在那台裝置上可以查得到資料的病人,Halamka說,事件波及約有2,000人,而身為一個CIO,他又得去向政府、媒體解釋,為什麼那些設備廠商可以關閉病毒軟體。

 

從上述的例子我們可以看出,這些都不是技術性的問題,是人、是政策問題,Halamka認為,好的資安防護應該是多層防禦。

 

 

針對醫療資訊的防護需求 

 

從醫生的觀點來看,當然希望可以存取越多的醫療資料,以作為病人的照顧參考,或是研究,但從資安人員的觀點來看則希望能夠存取的人越少越好,應該如何在這之中取得平衡?CIO要求的是可用性,資安人員希望資料可以被控制,政府要求醫療資訊的保密性,合作夥伴們則要求資訊的準確性,確保不會被駭客竄改。

而為了達到諸多目的,HMS採取了各種軟、硬體、政策擬定與教育訓練。在一些IT硬體架構上,HMS採用了防火牆、IPS、WAF等來進行網路防禦、偵測流量異常,軟體方面也有
一些主動和被動的控制措施,包括最基本的防毒軟體、版本更新、監控、變更管理等。例如當有人同時,從不同的地點登入系統,就可以知道這不太尋常。因此必須掌握人們何時?從哪裡登入?登入頻率等。單單為了防護300萬筆病人的電子醫療記錄Halamka表示,HMS一年就花了100萬美金來防範這些已知的病毒、駭客、惡意程式等。

 

 

John Halamka 於趨勢 Direction 2011 活動發表"The Security Journey of a Healthcare CIO:From Devices to the Cloude"演說。圖片來源:趨勢科技提供。 

 

 

政策層面:教育訓練、權限管理

 

根據HMS的預估,每年都有將近6成的醫學院學生,在網路上不當的揭露資訊。而他們除了學生之外,也有上千名醫生必須要管理,user族群相當複雜。Halamka說他們的用戶使用通訊狀況很複雜,但卻從沒想過安全問題。他們覺得走進咖啡店就可以連上網路很方便,卻沒有想到在外隨意使用無線網路有很多風險。於是資訊團隊花時間教育這些成千的醫生使用者,關於基礎的網路架構,如何分隔開公、私用途的信件、裝置等,如果在家連上網,必須使用特定的加密通道來存取資料。

 

此外,還要徹底進行稽核。這是一件相當困難的事情,Halamka說,你很難透過稽核去規範哪個醫生可以去看哪個病人的資料。今天一個人突然被送進急診室來,哪個醫生可以看他的病例?你很難去預測誰會突然變成誰的病人。所以醫生可以看任何的病例,但他們將會去稽核每件事情。

 

 

技術層面:透過工具、流程控管、加密

Change is your enemy Halamka Halamka說。在行動上網的年代,每個人都想要用自己的裝置連上網,各式各樣的裝置和作業系統,iPad、iPhone、Android,每天都有許多軟、硬體在更新,但越多的改變就越可能出現漏洞,因為你不知道在更新之後,還有多少未被揭露的漏洞會出現,所以他認為必須控制所有的變更。

 

每週,HMS的伺服器、網路、資安、桌上電腦各團隊,都會進行版本變更的會議,透過一些文件的審核、程序等來允許各種變更,減少潛在的資安威脅。每晚,都必須檢查將近一萬五、六千台的電腦是否更新防毒軟體到最新版本,檢查Log是否有異常。例如說一個平常看50個病人的醫生,突然看了100個病人的病例資料,或是一個病人的資料一天之內被檢視了太多次,又或是在機敏資料的部分出現不正常的瀏覽流量,或是有人突然使用平常不用的應用程式等,透過這些例行檢視的步驟來降低威脅,而這是非常困難的,也都是CIO所要面臨到的挑戰。

 

並且,根據麻州法律,所有在行動裝置上流通的醫療資料,都必須經過加密。

 

 

 

哈佛醫學院有18,000台電腦,6,000台伺服器,3,000名醫生和300萬筆病人的電子醫療紀錄,因此他們經手處理的流量很大,皆是 Petabyte 級的巨量運算資料。

 

 

行動裝置帶來的挑戰

 

HSM共有三個資料中心,除了一個主要的資料中心以外距離五英里遠以外還有一個災難備援資料中心以及一個私有雲提供2,000名醫生使用。醫生們雖然是醫學方面的專家,卻不擅於管理伺服器,因此這個內部的私有雲是一個儲存資料的安全好地方。身為CIO,他面臨到的新挑戰是,這些醫生大多是行動工作者,他們會從家裡、醫院、診所、護理站等不同的地方存取這些醫療資料,因此資安人員必須要掌控醫生可以從哪邊連上系統?使用何種裝置?Halamka開玩笑的說,最慘的是,iPad已經變成最受醫生歡迎的行動裝置,因此他沒辦法說不,還必須讓他們一邊存取機敏資料,一邊玩Angry bird

 

除了上述的一些控管措施,他也採取了角色的權限控管,醫生可以看到最機敏的資料,但其他的業務工作人員、專業研究員,僅能基於角色,獲得最少需求的資訊。

 

5年前,人們攻擊哈佛只為了出名、讓人印象深刻。現在,則是為了利益,攻擊醫院和大學,不只是為了榮耀更能夠獲利。6分美金,你可以從網路上跟犯罪集團買到信用卡號,一塊錢美金就可以買到整個身分資料,像是社會安全號碼、駕照、護照資料等,十塊美金買到銀行帳號,而且如果偷到智慧型手機,販售硬體至少得到30塊美金,而且販售當中的個人資訊,可能還比手機更值錢。這就是為什麼HMS必須要時時刻刻,一星期七天,一天24小時,每分每秒的進行安全監控、稽核、教育訓練使用者等。

 

Halamka以他在哈佛醫學院的多年資安經驗來看,有九成問題都在於人的部分,如教育訓練、政策擬定、流程控管,卻只有一成是技術性的問題。他舉例,將門鎖上只是佔了10%的問題,但是記得把門鎖上、檢查門是否關上、確保其他人不會把門打開、管理鑰匙等,卻必須花了90%的功夫。當Hacking已經從一件很酷的事情,變成一個犯罪集團的營利行為,這已經可以被稱之為戰爭了。在行動裝置盛行的現今,他認為資安只會面臨到越來越多的挑戰。