冬天2022

HIPAA挑战:工作场所个人设备的安全提示
丹尼斯·奥谢著
郑重声明
第34卷第1页

在现代移动办公时代，BYOD(自带设备)已经成为一种常态，包括在医疗保健行业。熟悉使用自己设备的员工不希望携带专门用于工作的额外设备。当他们外出时，使用自己的设备可以更方便地与办公室联系。然而，在医疗保健等受监管的行业中，BYOD可能会产生重大的安全风险。

在现代医疗保健中，我们可以公平地认为医生们捉襟见肘。持续的COVID危机只会加剧这种情况。不堪重负或心事重重的医生和医务人员往往有一个共同的、可以理解的漏洞:他们最常用的设备上的数据可能遭到泄露。

主要的安全威胁之一是医生通过iMessage或WhatsApp在无人管理的移动设备上交流敏感的患者信息。这种行为不是恶意的或偶然的。事实上，事实恰恰相反:它总是善意的、耐心的。

然而，现实是，它可能会产生严重的后果。如果这些信息被泄露，医生和他们的做法就违反了HIPAA规定。好消息是，通过正确的技术和网络安全教育，这种风险可以很容易地减轻。

不安全的医疗设备无处不在
IT领导和医务人员之间的沟通经常出现根本性的中断。许多医院和诊所已经做好了准备工作，安装了安全的临床通信应用程序，但这些解决方案往往没有被采用，这让iMessage和WhatsApp有机会成为占主导地位的通信方法。

医生经常会遇到两种危险的情况。然而，如果IT领导能够清楚和一致地解释这些场景，医生可能会注意到并随后采取进一步行动来保护患者数据。

最常见的场景是共享家庭设备。例如，医生可能必须在他们的个人设备和共享的家庭iPad或iMac之间共享一个苹果ID。两个设备同步到同一个iMessage帐户，该帐户可能用于发送或接收机密医疗数据。因此，医生与员工之间关于病人的对话不仅会出现在医生的手机上，还会出现在家庭的iPad上。

另一个常见的场景是在个人设备上使用公司凭据。大多数医生使用个人设备进行专业和个人交流。谁能怪他们呢?没有人喜欢随身携带多个设备。但在许多情况下，这些个人设备没有得到管理，也没有得到保护。

因此，当用户进入应用商店，使用个人苹果ID下载Teams或Outlook等公共应用时，更大的问题就出现了。现在他们在一个不受管理的设备上有一个不受管理的应用程序，这个设备可能有恶意软件、间谍软件或键盘记录软件，也可能没有。不幸的是，医生接下来要做的就是用他们的工作证书来签到。如果这些凭据遭到泄露，则医疗保健提供商很容易受到攻击。

识别工作场所的个人设备
It专业人员认识到个人设备在工作场所的使用是很重要的。更重要的是，他们必须向医生和其他医务人员清楚地传达在个人设备上工作的风险。

为了让你的团队取得成功，在制定保护临床工作者设备的计划时，请考虑采取以下步骤。

创建一个平衡安全和隐私的策略。
保护数据对整个组织来说至关重要，但当涉及到设备管理时，员工的关注点通常集中在他们自己的隐私上。一个精心设计的策略，将数据安全和隐私作为同一枚硬币的两面来处理，将使组织走上通往安全、合规环境的正确道路。这是一种微妙的平衡，但对患者数据和员工隐私都有严格的保护是可能的。

实施正确的技术。
研究和选择最能满足组织需求的现代设备管理技术。确保所选工具可以管理与工作相关的应用程序，如Outlook和Teams，而无需管理员工设备。应用管理和设备管理之间的区别至关重要。

沟通，沟通，再沟通。
在实施任何类型的重大变革时，至关重要的是所有各方都在同一页上。在安全和设备管理过程中，透明度必须始终是一个优先事项。这一策略将缓解对进展感到不安的最终用户的心理，并设定对变化的预期。

建立支持基础设施。
与任何推出一样，当事情没有按计划进行时，最终用户将需要支持。对于临床工作者来说，支持需求可能特别关键且时间敏感。他们最关注的是患者安全，因此当他们需要支持时，他们会期望临床级的响应时间和支持服务水平协议。

当医生和医务人员得到安全的解决方案，使用起来不麻烦，不侵犯他们的个人隐私时，他们是非常乐于接受的。如果医生对与同事分享敏感的患者信息所涉及的风险有更多的认识，并能选择使用安全的应用程序，他们就有理由选择满足安全要求，而不是熟悉iMessage或WhatsApp。

病人把他们最私人的信息委托给他们的医生。It领导者和医生是时候联合起来确保信任不会被破坏了。

- Denis O'Shea是Mobile Mentor的创始人，该公司是终端生态系统的全球领导者，致力于帮助客户在安全性和员工体验之间取得适当的平衡。