一家医院和其它医院通过附属机构、并购进行整合时,也必须整合信息技术系统。Sera-Brynn是一家网络安全公司,这家公司的信息安全副总裁Darek Dabbs指出,两家医院或多家医院整合信息技术网络时,漏洞和风险可能更容易被他人利用。
基于此,医院需要在整合过程中格外小心,实施网络分段。网络分段可以识别隔离医疗环境中的关键核心信息,因此需要有效地保护。Dabbs先生指出,这个环节是保护医疗信息技术系统的重要一步。
保护敏感信息需要进行网络分段
例如,不当的网络分段将会给医院的防火墙和单独运作的虚拟局域网的配置带来问题,会破坏每家医院的信息安全以及数据传输。Dabbs先生指出,医院的防火墙要么过于强大,要么不够强大。这些都会给合作者的网络和患者的信息安全造成不利影响。
“一般来讲,两个实体不会坚持同一个防火墙配置管理策略,这就意味着每个机构共享、可行的使用策略可能会出现巨大的差异,”Dabbs先生指出。“医院应该在整合网络前仔细检查风险评估。”
防火墙配置问题的负面影响
1、数据可用性。Dabbs先生指出,错误的防火墙配置由于过于强大,使数据无法使用。例如,如果医院的防火墙配置不当,就会导致放射医生无法把磁共振扫描的数字图像发送给本院或其它医院的医生。另外,数据还可能被损坏,影响该信息在未来的使用。
2、恶性软件。从另一个方面考虑,如果医院的防火墙设置规定不严格,那么就会无法保护附属医院。“薄弱的防火墙和入侵防御/检测系统相当于没有阻止恶意软件对其基本架构的攻击。与其它医院整合会将这些问题扩大,”Dabbs表示,“只要有一台不安全的电脑,就会发生漏洞,并蔓延至整个网络。这个弱点可以使整个机构受到感染。”
为信息技术制定整个计划
为了成功地实施网络分段,防止上述风险的发生,Dabbs建议医院在并购过程中制定信息技术的整合计划。
“整合计划将考虑机构拥有的每一个信息技术,并把这些技术成功地融合在一起。整合计划可以包含每项服务的网络和信息技术安全需求,”Dabbs表示,“整合计划应该包括防火墙、入侵检测系统、入侵防御保护系统和网络拓扑流图,从而确保对所有设备进行全面的风险分析。”
如果最终交付前的过渡过程中确定了安全问题的强项和弱项,每家医院会将信息技术列为整个交易价值的一部分。“医院可能缺乏资金,不能为另一家医院实施强有力的安全保障措施。或者他们可能缺乏达到基本的安全水平所需的资金,这一水平可能合作者并不认同,”Dabbs说。
虽然整合计划可能开销很大,但是医院可以在后期节省巨大的投入。“要么现在花钱,要么以后花钱。如果医院在整合过程中忽略安全风险问题,医院的数据就会遭到破坏,成千上万的档案就会丢失。数据遭到破坏的代价十分沉重。但是与之相比,整合计划的成本则显得九牛一毛,”Dabbs表示。
不仅如此,整合计划也不会耗费大量时间。Dabbs先生指出,制定合适的整合计划最多花费5天的时间。“第一个阶段是现场勘测,评估医疗机构的IT设施。然后,医院可以根据情况确定下面的步骤,”Dabbs先生指出。
医院为附属机构、并购制定整合计划,可以避免数据出现可用性和安全性等问题。通常来说,医院将工作的重心放在整合运营、员工和管理团队方面。由于数据破坏问题不断出现,在过渡过程中也应该高度重视数据保密问题。