医院、政府卫生机构和其他卫生保健实体越来越需要安全地存储和传输个人数据，无论是从患者到提供者，还是与相关机构、保险公司和监管机构。考虑到网络攻击呈指数级增长，对于医疗保健组织来说，消除个人身份信息 (PII) 和受保护健康信息 (PHI) 的数据可移植性风险变得前所未有的重要。

患者和企业范围内的数据安全是一项多方面的挑战，涉及静态数据和传输中的数据。由于患者对其数据的访问和使用方式更加敏感，这一挑战变得更加复杂。美国医学协会 (AMA) 2022 年的一项调查发现，超过 92% 的患者认为隐私是一项权利，他们的医疗保健数据不应可供购买。近四分之三的受访者担心保护个人健康数据的隐私。

调查表明，患者对能够访问个人健康数据的医生和医院最满意，而对能够访问相同数据的社交媒体网站、雇主和技术公司最不满意。

最终，数据加密应该成为存储和共享患者受保护健康信息的有效分层方法的一部分，同时防止未经授权的用户访问数据和最安全的设备，即使它们丢失、放错地方或被盗也是如此。然而，并不总是很清楚如何最好地利用和部署数据加密解决方案——尤其是在涉及软件与硬件加密时。

在将数据加密作为更广泛的安全策略的一部分之前，医疗保健决策者需要考虑几个关键因素。

数据加密对合规性的价值

首先，需要研究如何保护关键的医疗保健数据。根据当前的联邦、州甚至国际法规，在考虑安全性和创建保护措施时，组织需要如何处理其 PII 和 PHI 数据应该没有什么区别。随着医疗保健世界变得更加相互关联，患者健康记录的流动性对于患者服务以及全球医疗保健计划的研究、开发和资助变得更加重要。虽然有多种策略可以保护传输中和本地的患者数据，但数据加密是任何真正实用解决方案的关键组成部分。

数据加密对于遵守 HHS 等组织制定的HIPAA 隐私规则的一连串法律和规则也至关重要25 多年前，赋予患者对其数据的权利，但也允许披露患者护理和其他基本目的所需的适当信息。HIPAA 还特别要求在静止时对患者数据进行加密，例如存储在 SSD 或 USB 设备上时。在欧洲、中东和非洲以及加利福尼亚州的 CCPA 等州，国际舞台上也有类似的 GDPR 要求。这些不断增长的多层次合规性要求已将受保护数据类加密的需求从符合道德的商业惯例提升到通过法规强制要求。尽管有这些越来越多的监管要求，但受患者保护的数据丢失仍然是整个医疗保健行业的现实，并且每年都在继续增长——进一步凸显了对强大加密的需求。

正确加密的硬道理

由于数据隐私难题中有如此多相互关联的部分，组织可能难以充分保护自己。但是，如果没有预料到数据安全问题，组织遵守有关医疗保健数据访问和管理的严格法规的能力可能会受到损害。制定任何数据加密计划时的一个关键决策点是用于存储和传输数据的设备应该基于硬件还是基于软件。虽然有不同的方法来保护传输中和静态的患者数据，但数据加密起着核心作用。由于当前的预算限制和侧重于投资而不是扩展数据加密的战略，许多解决方案只会加剧问题，为增加风险和漏洞打开大门。

软件加密对精打细算的组织很有吸引力，因为它可以比硬件加密以更低的成本部署。然而，基于软件的方法也有一些折衷，事实证明这种方法容易受到嗅探、暴力破解和计算机内存嗅探等攻击。

软件加密还引入了性能问题，因为许多解决方案与旧网络和系统不兼容，并且众所周知，在数据加密和解密时会降低整个机器的速度。在成本、性能和安全级别之间确定一个舒适的平衡点是安全和 IT 决策者永恒的斗争，这将影响到所需的前进道路。

相对于软件加密，基于硬件的方法独立于 USB 和 SSD 等设备中，能够更好地抵御不断变化的网络威胁。硬件加密设备是独立的，可提供保护以抵御最普遍的攻击类型。因为身份验证发生在硬件上而不是软件上，所以使用专用处理器可以减少系统上的计算量。这使得加密和解密数据的过程更快。此外，加密密钥永远不会导出到可能被泄露的系统，而使用软件加密，实际的加密/解密是在计算机内存中完成的。

与软件加密相反，硬件加密通过限制尝试输入密码的次数不超过 10 次，防止通过软件字典攻击重复猜测密码，如果输入错误密码的次数过多，则删除数据。硬件加密也硬连线到设备中以保护数据。用户和不良行为者无法访问任何允许他们禁用加密、更改密码规则或删除暴力攻击保护的机制。例如，为了遵守法规，公司可能需要部署加强安全性的驱动器——但通过软件加密，流氓员工可以重新格式化驱动器，从而取消加密，然后存储数据，如果丢失或受到损害，这些数据可能会成为漏洞。

揽阁信息推荐的硬加密方案

CipherTrust数据安全平台：是具有单一可扩展框架的解决方案，可在医疗保健机构的各种要求下，跨广泛的OS平台、数据库、云环境和大数据实现来保护结构化和非结构化静态数据。

CipherTrust透明加密：提供了文件和卷级别的静态数据加密，安全密钥管理以及法规和遵从性法规要求的访问控制。部署简单，可扩展且快速； VTE代理安装在服务器或虚拟机上文件系统上方，以实施数据安全性和合规性策略。

CipherTrust应用程序加密：使需要对数据库、大数据、PaaS或其他应用程序进行字段级加密的医疗保健企业可以轻松地在字段和列级的内部应用程序中构建加密功能。

不要成为明天的头条新闻

随着医疗保健行业的快速发展和创新，患者和组织数据的安全面临着不断扩大的威胁向量集。代价高昂的数据泄露可能会破坏患者、合作伙伴和监管机构等的信任，任何人都不能承受侥幸心理。来自可信供应商的硬件加密存储设备是符合 HIPAA、GDPR 和 CCPA 以及降低移动员工数据泄露风险和成本的最安全选择。

现在联系揽阁信息，获取更多关于医疗保健行业数据保护解决方案的信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规