【專欄 – 驗明正身】身分安全方案緩解醫療行業的工作負荷

過往三年，醫院、診所和化驗所等醫療機構除了面對人手長期短缺和供應鏈挑戰，還需抵禦疫情。然而，網絡安全威脅日益加劇，醫療機構不得不加緊尋找方法，來保護機密資料和重要技術。

根據 SailPoint 研究報告指出，與身分識別相關的安全漏洞，已成為醫療行業不容忽視的問題，93% 醫療機構在過去兩年，曾遭遇資料外洩。

隨着併購遂增、機構轉向採用雲端和物聯網（IoT）技術，以及急速的數碼轉型，醫療行業所面對的風險和挑戰日益加劇。IBM 報告顯示，在所有行業當中，醫療業已連續 12 年成為平均資料外洩成本最高的行業。

醫療機構現時面對的另一個挑戰，是非僱員人數越來越多，包括承辦商、供應商、聯屬醫生和專家，以及臨時專業醫護人員。由於這些第三方身分可以存取病人資料，因此需要一套強大的身分安全策略來有效管理，以全面掌握這些人員的存取和許可權限。

最近，香港醫療行業遭受的攻擊越趨劇烈，網絡釣魚電郵和勒索軟件等手法，常用於攻擊具高價值的醫療記錄和關鍵基礎架構。本港醫療業界領袖也意識到病人資料遭意外洩露的危險，並可能導致紀律處分、法律訴訟、聲譽受損和額外營運成本等後果。

SailPoint 報告《身份安全狀況 2023：焦點關注醫療行業》訪問全球 150 家醫療機構，當中 93% 已經實施或已開始實施身分及存取權限管理計劃。然而，96% 受訪者認同，其機構的身分識別相關安全漏洞偵測及預防能力需要改善，因為醫療業內的 IT 專業人員，平均每週需花超過三分之一的工作時間，來管理所有身分的存取和許可權限。

正由於這個原因，自動化身分管理對醫療機構而言尤其重要，讓機構能夠持續且準確地掌握其整體狀況，同時監管用戶的存取權限和特別權利，防止資料外洩。自動化還可以簡化流程，並且快速授予、修改或撤銷用戶的存取權限，提高生產力及降低成本。

透過管理員工和非僱員的應用、資料和系統存取權限和存取認證，醫療機構能夠確保用戶僅擁有工作所需的適當存取權限。另一方面，若用戶離開機構，機構亦可快速刪除他們的存取權限，避免出現安全漏洞。此外，系統確保只向有必要知道資料的專業醫護人員提供所需的存取權限，保護病人的個人資料。

預防身分識別相關的安全漏洞及滿足審計和合規要求固然是重要目標，不過高效的身分安全方案，還可以提高員工生產力。

以人工智能（AI）和機器學習（ML）為核心的身分安全解決方案，能夠自動查找及管理用戶存取權限，助 IT 團隊更有效掌握情況，並集中控制機構系統和用戶，把身分識別應用無縫連接至其他水平和垂直應用，從而減少 IT 工作量和成本，並讓醫護人員在不同裝置上更快存取多個應用，減低出現混淆密碼的情況。

在醫療行業，加快處理員工和非僱員的入職和離職程序十分重要。大部分機構平均需時兩天來處理存取權限申請。由於醫護人員需要經常往返不同醫院和醫療機構，以填補人力缺口，而且通知時間通常很短，因此追蹤所有工作人員的存取權限和用戶行為非常重要，以便在適當的時間為他們提供所需級別的權限。

利用現代身份安全技術讓醫療機構能避免營運暫停、收入損失和身分安全風險。由 AI 驅動的身分識別方案，能減輕 IT 團隊在存取權限管理程序中的工作，並為醫護人員提供快速存取權限，讓他們及時取得病人資料，以及使用系統和應用，向病人提供優質醫療服務。醫療機構應把身分安全視為優先關鍵投資項目，以滿足合規和監管要求、提高營運效率和降低安全風險。

作者：SailPoint 香港及澳門董事總經理戴健慶