健康信息安全 – 我对 Amedisys 首席信息安全官 Richard Kaufmann 的采访 – 第 1 部分：起源故事、安全生态系统和起跑线

“如果数据无处不在，你如何保护它？”

这个想法很早就在我脑海中浮现 改变医疗保健黑客 （这是复数）当这篇文章在网上发布时，美国医疗保健利益相关者仍在与之打交道 人民健康 博客。

这是我在与首席信息安全官 (CISO) 理查德·考夫曼 (Richard Kaufmann) 交谈时提出的问题 阿米迪西斯。 我很高兴有机会与 Richard 一起深入探讨医疗保健网络安全的许多方面——日益增长的威胁、对提供商的影响、管理风险的技术和创新状况，以及他作为 CISO 在此领域不断变化的角色。具有挑战性的环境。

我们的谈话涵盖了很多内容，我将其分为三篇文章：这篇文章重点介绍了 Richard 在信息安全方面的“起源故事”以及 Amedisys 对企业网络安全战略的方法； 然后，我将在接下来的两个月中分别发布第 2 部分和第 3 部分，以研究 Amedisys 的计划及其当前安全基础设施和策略的实施情况以及在此过程中吸取的经验教训。 最后，我们将发布我们谈话的最后三分之一。 回顾和展望医疗保健网络安全的未来，以及帮助我​​们管理未来风险世界的一些智慧。

当我们与理查德·考夫曼一起踏上医疗保健网络安全之旅时，请考虑 Palo Alto Networks 提出的三大趋势将对行业提出挑战 投入更多时间和精力来解决日益增长的黑客和违规风险：

• 远程护理的兴起，尤其与家庭护理、远程医疗、姑息治疗和临终关怀相关
• 连接设备的激增，例如远程健康监测、健康物联网（尤其是家庭）以及其他可以连接到互联网、数据中心和云的应用程序，以及，
• 分布式护理网络和远程用户之间的医疗 IT 环境的复杂性不断增加。

考虑到不断变化的网络风险医疗保健环境，我现在欢迎与 Amedisys 首席信息安全官 Richard Kaufmann 进行对话，第 1 部分 – 起源故事、安全生态系统和起跑线……（注意 我的问题以斜体显示，以及理查德的普通字体声音）。

JSK：您与健康信息安全的起源是什么？ 十多年前，当您开始与路易斯安那州的 Blue Cross 和 Blue Shield 合作时，您考虑过网络安全吗？

RK：我会在这里和自己约会。 我是80年代初出生的人，是伴随着互联网长大的。 当我十几岁的时候，互联网是一种非常不同的体验，在很多方面它几乎感觉是可以管理的。 作为一个在路易斯安那州东南部长大的青少年，能够在聊天室和论坛中与其他人联系使我接触到了一种对我成年后产生巨大影响的世界观。

早期的“黑客”都是理想主义者。 引起我共鸣的在线社区都是关于利用互联网这个新工具让世界变得更美好。 当时的黑客行为给人的感觉更像是恶作剧，而不是犯罪，而且为了更大的利益，这很容易被证明是合理的。

当我作为一名年轻的专业人​​士来到 BCBSLA 时，大部分网络安全的轻松心情早已消退，理想主义被暴利所取代。 为“lulz”做事“ 已被为美元做事所取代； 现在，我从上网中获得的满足感是利用我的技能更好地了解“坏人”在做什么。

我是从网络安全这一职业中走出来的。 我的职业生涯始于网络工程师，然后转向各个地方的内部审计。 内部审计在组织中处于独特的地位，有机会了解公司的运营方式，最重要的是，了解高管层如何确定解决方案的优先级，是我在成为 CISO 的道路上做出的最佳决策之一。

JSK：您于 2018 年进入 Amedisys 组织，担任首席信息安全官。 自从您担任该职位以来，网络安全环境发生了哪些变化？

RK：在后疫情时代，协作已经发生了永远的变化。 这一变化的最大副产品之一是组织数据已经成为环境。 对于医疗保健等受到高度监管的行业，网络安全和数据保护是齐头并进的。 如果数据无处不在，您如何保护它？ 在 Amedisys，我们通过尊重数据的来源来回答这个问题。

当患者经历连续护理过程时，我们理解并重视患者的经历是私密的。 个人拥有决定谁以及何时利用其健康信息的基本权利。

对于现代 CISO 来说，在 Teams 会议、PowerBI 报告和分散数据的新范式中保持这些信息的私密性是一个沉重的负担。 另一个复杂之处是，首席信息安全官不仅试图阻止信息泄露给那些想要以隐私换取利润的对手，还试图阻止信息在正常业务过程中意外泄露。

JSK：请告诉我们，与住院护理或医疗团体实践等其他医疗保健服务环境相比，Amedisys 在家庭健康、临终关怀和姑息治疗领域面临的网络安全挑战可能有何不同。

Amedisys 是美国最大的临终关怀和家庭健康提供商之一。 相比之下，最大的医院之一拥有 2,000 多张床位，而我们公司每年为超过 400,000 名患者提供护理。 我们面临传统医院的所有挑战，因为我们提供类似的服务，但额外的变量是我们在患者家中提供护理。

在家中提供护理会增加网络安全的复杂性，特别是当您考虑诸如连接或缺乏连接之类的事情时。 我们尽最大努力通过患者的眼睛看世界，同时也确保临床医生的安全。 想象一下，有一个患有痴呆症的亲人可能不记得为什么护理人员会敲门进行家庭健康访问。 确保我们的临床医生安全，同时能够提供行业领先水平的护理是我们组织蓬勃发展的关键。

JSK：当您回顾规划和实施 Amedisys 网络安全战略的“起跑线”时，您在项目的首要考虑因素和挑战是什么？

RK：在 Amedisys，无论您的职位是什么，每个人都是护理人员。 对我们来说，这不仅仅是企业文化术语。 我们组织中的每个人都从以下角度处理自己的工作职能：“我如何通过自己的行动改善别人的体验？” 我们的安全战略植根于同情心、同理心和乐于助人。 当您将患者或客户放在第一位时，作为网络安全能力，您可以完成令人惊叹的事情。

我职业生涯中最有影响力的经历之一是在新冠疫情最严重的时期与我们的临终关怀护士一起工作。 临终关怀服务在我们国家还没有得到充分利用。 从生到死的转变是一个令人不安的话题。 我们的临终关怀护士每天都会克服这种不适。 临终关怀也是唯一一个其目标不是让人们更健康，而是提高他们的生活质量的医疗保健服务。

从很多方面来说，我们似乎已经忘记了新冠疫情早期的可怕之处。 在“拉平曲线”甚至用酵母发酵剂进行隔离以及分散“虎王”注意力的想法出现之前，人们正在积极死于这种疾病。

临终关怀护士每天都会出现，以便他们的病人（其中一些人患有高度传染性疾病）在生命的最后几天感到舒适。 去工作意味着让自己处于危险之中——而他们仍然这样做了。 总的来说，新冠疫情期间 Amedisys 的临终关怀护士是我见过的最勇敢、最无私的人。

我记得在我们的组织最终采用 Teams 后不久，我会见了一位临终关怀领导者并询问 – 您的团队需要什么？ 我永远不会忘记他的回答：“我们需要拥抱。”

新冠疫情彻底孤立了我们一群需要社区的员工。 他们需要悲伤。 他们需要发泄。 他们需要一个地方，让他们作为人类的体验能够持续下去，即使是在工作时间之后。

能够建立在线社区以及沟通渠道，让这群员工可以互相安慰，这是一次令人难以置信的充实体验。 当然，我们努力确保这些东西的安全，并且共享的数据和体验保持私密，但更重要的是，技术在人们最需要的时候真正将他们团结在一起。

JSK：我听说您谈到了生态系统在您的网络方法中的重要性。 你可以解释吗？

RK：尽管我们试图让首席信息安全官成为一场关于安全的对话，但它的目的是使公司目标与以尽可能最有效的方式保持数据私密性保持一致。 这里需要平衡成本和价值。

我还没有遇到哪个 CISO 提出了让事情变得更安全的计划，并且为该想法获得资金的成功率是 100%。 我们不断面临降低成本的挑战。

我对待技术生态系统的方式就像我对待孩子们吃晚饭的方式一样。 他们每个人都会有不同的要求，并且知道当时什么对他们来说是最好的。 鸡块、披萨、炸玉米饼（后者显然只在周二供应）。 对他们来说，可用资源是无限的。 然而，作为家长和 CISO，我的职责是协调真正需要的内容与可用资源。 根据我的经验，最好的方法就是去一个提供最多品种的地方。

最近，出于这个原因，Amedisys 对 Microsoft 安全堆栈进行了大量投资。 各个产品不仅满足我们的要求，而且那些具有我们生产力套件本机功能的安全产品也更加简单。 此外，我们的团队热衷于改进我们使用的产品，并且拥有单个升级点意味着我们可以看到整个企业的改进，即使我们的反馈集中于特定功能。

JSK：我在某处读到，在远足和其他健身活动中，您有时会召唤耐力运动员大卫·戈金斯 (David Goggins)。 有趣的是，戈金斯在业余时间在他居住的不列颠哥伦比亚省担任紧急技术员。 您可以从 Goggins 的灵感中汲取什么灵感，融入 Amedisys 的网络安全“马拉松”工作中？

RK：当我看到像戈金斯这样的人时，有两个概念真正引起了我的共鸣。 第一是具有自救能力。 没有人会来帮助你。 这是一个很难学习的教训，但并不是每个人都能掌握它。 当我指导其他 CISO 时，这是我领导力的基石之一。 最好的团队领导者首先是优秀的团队成员。 成为一名优秀的团队成员意味着能够对自己负责。 如果你想做 100 个引体向上，你可以先做 1 个，然后明白没有人帮你做另外 99 个。 自给自足和责任感是软技能，即使在人员数量有限的情况下，我们的安全团队 Amedisys 也能蓬勃发展。

第二个概念是动机和纪律之间的区别。 动机波动。 有好日子也有坏日子——它是动态的。 当安全性发生变化时，就会产生漏洞。 无论任务大小或完成任务的愿望如何，遵守处理任务的纪律有助于我们保持运营团队可以利用的稳定的运营环境。 纪律为我们提供了一条坦然接受不舒服的道路。

因此，我们已经从早期的黑客恶作剧时代，转向网络等式的“另一边”，再到与患者和护理人员合作在家中提供医疗保健的特定景观——而技术只是更长时期的一部分。培养同理心、社区和拥抱的秘诀——在大卫·戈金斯 (David Goggins) 的鼓舞人心的榜样训练的马拉松比赛中。

请继续关注我和 Amedisys 首席信息安全官 Richard Kaufmann 共同探索网络安全和医疗保健的三部分中的第二部分，该部分将于 6 月中旬发布……