爱沙尼亚卫生和福利组织利用 Elastic 将 MTTR 缩短了 40%

位于爱沙尼亚塔林市中心的卫生和福利信息系统中心 (TEHIK) 是该国公共服务（包括卫生、社会保障和劳工）数字化转型的基石。其主要职责之一是为这些组织提供一个安全的环境，以便在医疗专业人员和社会护理人员等各利益相关方之间存储和共享公民数据。

TEHIK 信息安全专家 Anto Kallas 强调了跨多个组织和软件生态系统工作的复杂性。“管理旧有软件的技术需求以及对事件数据收集和监控的持续需求需要大量资源。我们一直在积极寻求解决方案，以便能够收集、分析和响应整个软件系统的安全和遥测数据。”

爱沙尼亚严格的法律框架限制了公有云的使用，这是另一个挑战。这尤其适用于敏感数据处理，因为国家法规会对处理和隐私进行管理。因此，爱沙尼亚政府机构（例如 TEHIK）必须探索诸如私有云或混合解决方案之类的选项，在尊重法律界限的同时提供云计算优势。

这段旅程始于 2014 年，当时 Kallas 和他的团队首次开始使用 Elastic 的开源版本。此后，该团队升级到商业许可证，引入了 Elastic Security 和 Elastic Observability，为敏感操作提供全面、合规的工具集。由于该国对公共云使用的监管限制，TEHIK 选择在其自己的数据中心内部署在容器上的 Elastic 平台，这使其能够在本地配置、管理和监控 Elasticsearch 和 Kibana，同时享受私有云平台的所有优势。

与 Elastic 的合作改变了 TEHIK 的数据分析和系统管理方法。相关性和 GeoShape 分析等 Elastic 功能，加上用户友好的机器学习工具，大大增强了其发现数据滥用的能力。“这一过程的效率非常高。通过利用 Kibana 发现视图，我们能够在几秒钟内找到信息系统中的所有用户活动。”Kallas 说道。

内部控制和审计部门对该解决方案表示非常满意。以前需要几天才能完成的程序，现在几分钟就能完成。Kallas 和他的团队不必专注于数据收集和处理，而是可以将时间用于制定和测试新的假设，以挫败精明的对手。

快速检测和分类可疑攻击是大多数组织面临的主要挑战。大多数安全运营团队花更多的时间来排除误报，而不是追捕即将造成损害的网络犯罪分子。

TEHIK 正在利用 Elastic Security 扭转这一比例。“机器学习曾经被视为最先进的技术，现在已成为 TEHIK 管理员的日常工具，”他说。提高系统透明度也起着关键作用。“Elastic Observability 是我们机构的重要补充，它增强了我们的工具包，可以更快、更专业地解决事件。”Kallas 补充道。

TEHIK 的响应时间和根本原因识别时间已显著缩短。“以前，很难发现和纠正故障，这增加了我们软件的维护成本，”Kallas 说。“但有了 Elastic，我们可以在早期阶段发现问题，从而显著减少系统中断的次数。”

明年，TEHIK 预计平均解决时间 (MTTR) 将大幅缩短，预计至少缩短 40%。这可归因于几个因素，包括应用程序性能监测 (APM) 等工具的实施。这些功能提高了系统运行的可见性，使 TEHIK 能够更快地识别和解决运行事故的根本原因。“这些工具能够让规模更小、更敏捷的团队参与事件响应，从而提高运营效率。”Kallas 表示。

更有效的缓解流程也减轻了 Kallas 和他的团队的压力。“借助 Elastic，我们可以快速、更准确地发现问题的真正原因。您可以用较小的团队管理您的系统，腾出资源为企业创造更多价值。”

除了先进的安全性和可观测性功能外，Kallas 还重视 Elastic 团队的指导和支持。“Elastic 的员工不仅了解我们的业务，还积极主动地为我们提出改进部署的建议。我们设有当地 Elastic 专家的热线，他们可以在几小时甚至更短的时间内解决问题。”

展望未来，Kallas 认为 Elastic AI Assistant（一种由 Elasticsearch Relevance Engine (ESRE) 支持的生成式 AI 工具）的部署潜力巨大。这使用户能够与 Elastic Security 和 Observability 进行交互，以执行告警调查、事件响应和使用自然语言生成查询等任务。

“Elastic AI Assistant 可让您将安全分析分发到业务的其他领域，而不仅仅是信息安全部门。这种潜在的转变不仅能提高资源效率，还有助于组织内人才的可持续发展。”他说道。