爱沙尼亚卫生和社会福利组织使用 Elastic 将 MTTR 缩短了 40%

在爱沙尼亚塔林市中心，卫生和社会福利信息系统中心 (TEHIK) 是该国公共服务（包括医疗、社会保障和劳工）数字化转型的基石。其主要职责之一是为这些组织提供安全的环境，以便在医疗专业人员和社会护理人员等各种利益相关者之间存储和共享公民数据。

TEHIK 的信息安全专家 Anto Kallas 强调了跨多个组织和软件生态系统工作的复杂性。“管理遗留软件以及不断需要事件数据收集和监控的技术需求需要大量资源。我们一直在积极寻找解决方案，使我们能够收集、分析和响应我们软件系统中的安全和遥测数据。”

爱沙尼亚严格的法律框架限制了公共云的使用，这是另一个挑战。这尤其适用于敏感数据处理，其中国家法规管辖处理和隐私。因此，爱沙尼亚的政府机构（如 TEHIK）必须探索诸如私有云或混合解决方案等选项，这些选项可以在尊重法律界限的同时提供云计算的好处。

这段旅程始于 2014 年，当时 Kallas 和他的团队首次开始使用 Elastic 的开源版本。从那时起，该团队升级到了商业许可证，引入了 Elastic Security 和 Elastic Observability，它们为敏感操作提供了全面、合规的工具集。该国对公共云使用的监管限制使 TEHIK 选择在其自己的数据中心内的容器上部署 Elastic 平台，这使其能够以私有云平台的所有优势在本地配置、管理和监控 Elasticsearch 和 Kibana。

与 Elastic 的合作改变了 TEHIK 的数据分析和系统管理方法。Elastic 的相关性和 GeoShape 分析等功能，以及用户友好的机器学习工具，显著增强了其发现数据滥用的能力。“这个过程的效率非常显著。通过使用 Kibana 发现视图，我们能够在几秒钟内找到信息系统中所有用户的活动，”Kallas 说。

内部控制和审计部门对该解决方案表示非常满意。以前需要数天才能完成的流程现在可以在几分钟内完成。Kallas 和他的团队不再专注于数据收集和处理，而是可以将时间用于制定和测试新的假设，以阻止复杂的攻击者。

快速检测和分类可疑攻击是大多数组织面临的关键挑战。大多数安全运营团队花费更多时间排除误报，而不是追捕那些即将造成破坏的网络犯罪分子。

TEHIK 正在通过 Elastic Security 来改变这种状况。“机器学习曾经看起来像是最先进的技术，现在已经成为 TEHIK 管理员的日常工具，”他说。改进的系统透明度也发挥着关键作用。“Elastic Observability 是我们机构的重要补充，增强了我们更快、更专业地解决事件的工具包，”Kallas 补充道。

TEHIK 的响应时间和根本原因识别能力显着提高。“以前，很难发现和纠正错误，增加了维护我们软件的成本，”Kallas 说。“但有了 Elastic，我们可以在早期阶段发现问题，从而大大减少系统中断的次数。”

在未来一年，TEHIK 预计平均恢复时间 (MTTR) 将大幅缩短，预计至少减少 40%。这可以归因于多种因素，包括实施应用程序性能监控 (APM) 等工具。这些工具增强了对系统操作的可见性，使 TEHIK 能够更快地识别和解决运营事件的根本原因。“这些工具使更小、更灵活的团队能够参与到事件响应中，这也提高了运营效率，”Kallas 说。

更有效的缓解流程也减轻了 Kallas 及其团队的压力。“借助 Elastic，我们可以更快、更准确地发现问题的真正原因。你可以用更小的团队管理你的系统，并释放资源为业务交付更多价值。”

除了其先进的安全和可观测性功能外，Kallas 还很重视 Elastic 团队的指导和支持。“Elastic 的人员不仅了解我们的业务，而且在建议我们如何改进部署时也很积极主动。我们有一个本地 Elastic 专家的热线，他们可以在几小时甚至更短的时间内解决问题。”

展望未来，Kallas 看到了部署 Elastic AI Assistant 的巨大潜力，这是一款由 Elasticsearch Relevance Engine (ESRE) 驱动的生成式人工智能工具。这使用户能够使用自然语言与 Elastic Security 和 Observability 进行交互，以执行警报调查、事件响应和查询生成等任务。

“Elastic AI Assistant 使你能够将安全分析分发到业务的其他领域，而不仅仅是信息安全部门。这种潜在的转变不仅提高了资源效率，而且有助于组织内部人才的可持续发展，”他说。