作者: 约翰.B·马格福特 | 2018-06-06 14:34

医疗保健房地资产网络安全问题不容忽视

科技进步对医疗保健行业的影响极为深远：患者现在能够享受远程诊断技术，机器人能够代替外科医生进行许多常规外科手术，医生也能通过电子病例准确知道患者的病史。

但医疗科技不断进步所带来的后果便是一系列隐私泄露问题，包括违反美国《健康保险可携性与责任法案》(HIPAA，Health Insurance Portability and Accountability Act)以及非法窃取患者信息等。任何与医疗行业相关的人员或组织，无论是医生、卫生机构还是医疗建筑的业主或经理，都需要密切关注网络安全问题，因为许多医疗体系的网络安全都存在着潜在隐患。

根据数据保护研究组织波耐蒙研究所(Ponemon Institute)2015年的一份报告，对医疗行业的恶意黑客攻击与资料库窃取每年可造成62亿美元的损失，平均每次网络安全事故造成的直接损失高达220万美元。当然，这其中还不包括患者隐私泄露与系统重建维护所带来的无法衡量的间接损失。报告还发现黑客最喜欢窃取的资料是就诊记录以及医药费与医疗保险缴费凭据，同时指出大多数医疗保健机构对网络恶意攻击疏于防范，并且针对患者的资料缺乏保护措施。

丹佛瑞吉斯大学计算机与信息服务学院教学主任沙里·A·普兰茨(Shari A.Plantz)硕士表示，面对网络恶意攻击，医疗保健设施就像其他设施一样脆弱，而且如果考虑到医疗保健设施的功用以及设施运营差错对病患可能造成的危害，网络安全的风险成本变得很高。

许多人会认为防止黑客攻击的责任都在医疗保健机构自身，但我们不能将所有问题归咎在它们身上。正在广泛与医疗保健机构合作的网络安全咨询公司“灰城堡”(GreyCastle Security)首席执行官雷格·哈尼什(Reg Harnish)说：“建筑所有者需要明确：医疗机构可能仅是设施内的租户，而自己则是他们的商业合作伙伴。早在2011年，美国联邦政府就公开表示，如果企业作为医疗保健机构的商业合作伙伴，就需要遵守与关联机构、医疗健康系统和内科医师准则相同等级的安全规定。”

假若医疗大楼的所有者对楼内的互联网设施(如支持大楼IT正常运转的线缆)具有控制权，“那么这些业主就需要遵守HIPAA的规定，即便他们不直接提供医疗服务，”哈尼什补充道。业主同时还需要确保建筑内的安保措施，如安保人员、门禁系统以及突发事件预防与处理计划，能够和网络安全计划能够相辅相成。

举例来说，如果犯罪嫌疑人想要窃取医疗机构中的某些电子资料或者实物，如记录有患者信息的笔记本电脑，抑或是想要干扰某外科手术或治疗流程，他们很可能首先非法入侵网络并试图关掉电脑的总控系统。当这种情况发生时，安保小组就需要按照突发事件处理计划来及时行动，防止危害扩散。

巴塞特健康照护网络公司(Bassett Healthcare Network)前首席运营官、咨询师波尔蒂尼·哥伦布·麦肯娜(Bertine Colombo McKenna)在就网络安全问题撰写的一份白皮报告中写到，任何与医疗保健行业有关的组织都需要与真正的网络安全专家进行合作，而不是想当然地将网络安全问题全部推给IT技术人员或者首席信息官。专家表示，网络安全紧急行动计划需要与专业的网络安全公司协同制定，而且这个公司需要非常了解物业安全与网络安全之间的内在联系。

“网络安全已经成为了全球性的问题，任何商业主体，即便是建筑业主也需要遵守联邦、州或者地区性的法律法规，”“灰城堡”的哈尼什解释道，“业主和负责物业安全的人员需要清楚地了解这些法律法规的要求。如果在某些情况下他们没有提高警惕或者没有及时采取预防措施，他们也需要承担相关的法律责任。”

如果自己就是一名医疗机构建筑业主的话，哈尼什表示会立即进行全方位的排查并了解建筑内部哪些方面需要达到网络安全要求。“我需要清楚知晓租户的背景，并思考我在网络安全方面能给与他们何种帮助，而这肯定需要网络安全领域的专家参与。总之，任何时候采取行动都不会为时过晚。”

关于作者：

约翰·B·马格福特John Mugford)是Wolf Marketing & Media LLC公司《医疗保健房地资产内参》杂志编辑。

本文由国际建筑业主与管理者协会（BOMA）特别供稿
翻译/思骏

原载于《现代物业·设施管理》2018年4期