Back
Key Takeaway
Đã xây dựng kiến trúc quản trị bảo mật trung tâm cho hợp tác y tế đa tổ chức.
Đã chuẩn hóa các chính sách bảo mật và quy trình phê duyệt khác nhau của từng tổ chức thông qua quản trị bảo mật AWS do HALO đề xuất, hoàn thành môi trường hợp tác dữ liệu y tế an toàn với quản lý quyền dựa trên vai trò, kiểm soát trung tâm và tuân thủ quy định.
Bệnh viện đa khoa hạng cao S (A premier tertiary care hospital S)
Client :Bệnh viện đa khoa cấp cao S (A premier tertiary care hospital S)
Industry :Healthcare
Service Area :Security
1. Overview (Bối cảnh dự án)
Khi các nghiên cứu hợp tác liên quan đến nhiều tổ chức y tế mở rộng, hệ thống quản trị bảo mật tích hợp để chia sẻ và sử dụng dữ liệu y tế nhạy cảm một cách an toàn trở nên cần thiết do các quy định bảo mật, kiểm soát truy cập và quy trình phê duyệt khác nhau của từng tổ chức. Đặc biệt, vì dữ liệu y tế phải đáp ứng các yêu cầu pháp lý khắt khe (PIPA, Luật Y tế), phê duyệt IRB, sự đồng ý của bệnh nhân, v.v., nên cần có cấu trúc kiểm soát bảo mật trung tâm bao gồm quyền, phê duyệt, kiểm toán và giám sát, chứ không chỉ là chia sẻ dữ liệu đơn giản. MegazoneCloud HALO đã thiết kế kiến trúc bảo mật kiểm soát toàn chu kỳ từ tài khoản, quyền, phê duyệt, chính sách bảo mật, kiểm toán đến giám sát dựa trên AWS.
2. Challenges (Định nghĩa vấn đề)
Khó thiết lập hệ thống quản trị tích hợp do các chính sách bảo mật và tiêu chuẩn vận hành khác nhau của từng tổ chức.
Khi nhiều tổ chức y tế tham gia, các quy định bảo mật, chính sách truy cập và quy trình phê duyệt mà mỗi tổ chức sở hữu đều khác nhau. Ngay cả khi xử lý dữ liệu giống nhau, tiêu chuẩn mà mỗi tổ chức yêu cầu cũng khác nhau, khiến việc áp dụng chính sách bảo mật nhất quán trở nên khó khăn. Vấn đề này là một ràng buộc cấu trúc trong việc thiết lập tiêu chuẩn bảo mật chung cho hợp tác.
Khó vận hành tích hợp do sự không phù hợp trong các quy trình phê duyệt, sự đồng ý và IRB để sử dụng dữ liệu y tế nhạy cảm.
Dữ liệu y tế có các tiêu chuẩn pháp lý và đạo đức rất khắt khe, nhưng tiêu chuẩn phê duyệt và phương pháp xác minh khác nhau giữa các tổ chức. Không thể xác định theo tiêu chuẩn chung người dùng nào có thể truy cập dữ liệu nào, và các quy trình cần thiết như sự đồng ý của bệnh nhân, IRB, cấm sử dụng ngoài mục đích không được chuẩn hóa, khiến việc thiết lập nền tảng cho nghiên cứu hợp tác trở nên khó khăn.
Không có cách để quản lý tích hợp người dùng với các vai trò khác nhau trong môi trường đa tổ chức.
Có nhiều vai trò người dùng như nhà cung cấp dữ liệu, nhà nghiên cứu, nhà phát triển AI, quản trị viên nền tảng, nhưng không có hệ thống để quản lý chúng một cách nhất quán từ trung tâm. Định nghĩa vai trò và cấu trúc quyền khác nhau giữa các tổ chức, quyền truy cập, môi trường làm việc và quy trình phê duyệt được phân tán, làm cho kiểm soát người dùng trở nên phức tạp và tăng khả năng xảy ra sự cố bảo mật. Đặc biệt, quyền quá mức hoặc bị bỏ quên của người trong tổ chức được xác định là rủi ro lớn nhất.
Khó kiểm soát trung tâm do nhật ký, phê duyệt và hồ sơ hành động bị phân tán mặc dù yêu cầu kiểm toán và quy định bảo mật tăng lên.
Môi trường quy định như ISMS-P yêu cầu theo dõi tất cả lịch sử truy cập dữ liệu, hồ sơ phê duyệt, nhật ký hành động và phát hiện hành vi bất thường từ trung tâm. Tuy nhiên, trong cấu trúc hiện tại, định dạng nhật ký và chính sách khác nhau giữa các tổ chức, khiến việc xác minh tuân thủ quy định trở nên khó khăn và giám sát thời gian thực hoặc phát hiện mối đe dọa thực tế là không thể. Cần có hệ thống bảo mật trung tâm mạnh mẽ hơn.
3. Solutions (Giải pháp)
HALO đã xây dựng hệ thống quản trị bảo mật dữ liệu y tế dựa trên AWS như sau.
Xây dựng quản trị đa tài khoản dựa trên AWS Control Tower
Bằng cách chuẩn hóa tài khoản theo tổ chức, có thể kiểm soát chính sách bảo mật từ trung tâm. Điều này đã tích hợp các chính sách bảo mật của nhiều tổ chức thành một khung công tác duy nhất.
Quản lý xác thực và quyền tích hợp dựa trên IAM Identity Center
Bằng cách triển khai chính sách bảo mật dựa trên vai trò (RBAC) và SSO, có thể kiểm soát quyền theo vai trò như nhà nghiên cứu, nhà cung cấp dữ liệu, quản trị viên, v.v.
Xây dựng trung tâm bảo mật trung tâm (SOC) để giám sát thời gian thực
Có thể giám sát tất cả các sự kiện bảo mật của tất cả các tổ chức và người dùng từ một nơi. Giám sát bảo mật và phản ứng ở cùng một mức độ trở nên khả thi ngay cả khi các tổ chức khác nhau.
Kiểm soát truy cập dựa trên phê duyệt của DataZone
Trong khi mỗi tổ chức giữ lại quyền sở hữu dữ liệu, tất cả các truy cập được tích hợp thành quy trình bảo mật chuẩn hóa của yêu cầu–phê duyệt–cấp quyền–thu hồi và có thể kiểm toán một cách minh bạch, tạo ra hệ thống quản trị dữ liệu đa tổ chức.
4. Results (Kết quả)
Trước đây, tiêu chuẩn bảo mật và quy trình khác nhau giữa các bệnh viện, dẫn đến bề mặt tấn công lớn, gánh nặng vận hành và rủi ro quy định, nhưng sau khi áp dụng quản trị bảo mật do HALO đề xuất, nó đã thay đổi thành hệ thống bảo mật trung tâm tích hợp, nâng cao mức bảo mật, giảm rủi ro và tăng tốc độ hợp tác.
Đã giảm đáng kể bề mặt tấn công rộng được vận hành riêng biệt bởi mỗi tổ chức thông qua hệ thống bảo mật trung tâm.
Khi các quy trình phê duyệt, quyền và truy cập được chuẩn hóa, rủi ro bảo mật và gánh nặng vận hành đều giảm đồng thời.
Thời gian chuẩn bị cho kiểm toán và tuân thủ quy định (đặc biệt là ISMS-P) đã được rút ngắn và gánh nặng thu thập bằng chứng đã biến mất.
Bằng cách giảm các khoảng trống trong thu hồi quyền, hết hạn, thay đổi tổ chức, v.v., đã giảm thiểu rủi ro rò rỉ dữ liệu nội bộ.
Lòng tin giữa các tổ chức đã được cải thiện, tăng tốc độ nghiên cứu chung và hợp tác liên quan đến nhiều tổ chức.
Giám sát bảo mật và phát hiện mối đe dọa đã được tập trung hóa, giảm đáng kể thời gian phản ứng sự cố tiềm ẩn.
