美国西奈山医疗中心：谈云端转型之旅的机会和威胁

美国西奈山医疗中心（Mount Sinai Health System）首席信息官、医学院IT院长Kristin Myers正在将这家位于美国纽约的医疗提供商带到云端，同时把数据保护和安全作为重点的优先事项。 

Myers拥有昆士兰科技大学的法律和IT学位，以及哥伦比亚大学公共卫生高级管理硕士学位，2019年重返校园，在卡内基梅隆大学获得了CISO认证，期间她萌生了对西奈山医疗中心网络安全策略进行重建的想法。

“这个项目持续了六个月的时间，非常具有挑战性，但我从中学到了很多东西，让我作为一名CIO真正地去了解一个网络项目应该包括什么，以及我们需要达到怎样的成熟度才能向前发展。”

这促使Myers采取了很多安全举措，为把西奈山的业务和临床应用迁移到云端做好准备，包括在2021年5月聘请了首席信息安全官Rishi Tripathi，使其成为西奈山医疗中心云转型执行指导委员会的成员。

“有些人可能认为，你把应用迁移到云端是安全的，但这是错的，”Myers表示，她认为CIO和CISO之间的关系极其重要。“在进行转型的时候，你必须要确保安全性。”

将西奈山带到云端

Myers从2021年下半年开始整理适合于云迁移的业务案例，这个过程“需要相当长的时间，因为并非一切都在数据中心的技术预算范围内，还会影响到其他方面的预算，例如设施预算。”

为了评估这些影响，Myers和她的团队对数据中心成本进行了自下而上的预算项目分析，并让财务部门审查了他们的业务案例。

“当我们与设施团队进行审查时，分析过程非常清楚，”她和由CEO监督的西奈山企业风险委员会一起着手评估“所有三大”云提供商，最终选择了微软Azure，以及埃森哲的托管服务。

她说：“对我们来说，重要的一点是微软对数据安全的理念，以及微软在医疗领域为客户提供帮助的市场定位。”

Myers还将一些业务应用迁移到了Oracle的云上，包括Oracle Financials、Supply Chain、HCM Talent Management和Learning，但对于其他业务和临床云应用来说，“我想做到更多，例如不可感知。”

西奈山医疗中心的云迁移还处于早期阶段，Myers的目标是在三年内将他们大部分的应用都迁移到云端。

西奈山医疗中心的电子健康记录系统——Epic——将成为迁移到微软Azure的应用之一。自Myers加入该组织医疗，就在中心的各个方面部署了Epic，并计划至少在2025年之前扩大部署规模。

“这似乎是没有终点的，但当我们收购或者合并组织的时候，就必须确保我们能够把所有医院或者设施连接到主中心那里。”

西奈山医疗中心已经在使用多云环境进行基因组学研究，虽然他们采用了同类最佳的解决方案，但是Myers说，“对我们的业务和临床应用来说，制定多云战略是没有意义的”。

她这么说部分原因在于人才问题，因为在多云环境中，必须维持着不同、但却有重叠的技能集合，“想想人才保留和能够找到合适的团队成员来管理这些环境，显然我们希望把80%-90%的应用都放在一个厂商那里。”

为量子威胁做好准备

随着西奈山医疗中心把大量的IT运营迁移到云端，数据安全就成为了Myers首要考虑的因素。

她说：“必须在整个迁移过程中构建安全性，只是将应用迁移到云端并不意味着对应用实施了保护，除非你加密了数据。”

不仅仅数据是否加密，还有加密的方式。那些使用当今计算设备可能需要数年时间才能破解的加密算法，对攻击者来说，使用量子计算可能几秒钟就破解了。

虽然量子计算目前仍然处于短暂的实验室实验阶段，但是终将有一天，量子计算机会得到更广泛的应用，给人们带来更加显而易见的威胁。例如，美国白宫正在认真对待量子计算带来的威胁，在2022年1月发布了一项行政命令，要求国家安全系统运营商更新他们的安全计划和系统以防范量子威胁。

医疗组织不受相同要求的约束，但却面临相同的威胁：如果他们的数据没有得到充分的保护和加密，那么当量子计算机成为现实时，数据终将会被破解。

Myers认为，量子威胁将在未来三到五年内出现。“这听起来似乎需要很长时间，但实际上并非如此。”

为了做好准备，她聘请了谷歌子公司Sandbox AQ来盘点西奈山的加密系统，帮助他们实现量子安全。

Sandbox AQ提供了一种审核工具，可运行在企业内部网络上，用于发现所有正在使用的加密系统，然后提出升级这些系统的建议。

Myers预计，将在年底之前明确有必要采取哪些缓解措施：“如果我们现在就开始这项工作，我们就会处于一个有利的位置，在这些漏洞被利用之前将其解决掉。”

将其视为对西奈山 IT 资产及其患者数据的预防性护理。