【概要描述】 关在医疗保健行业数据平安问题的几点思虑

保障健康数据平安的靠得住方式，必需均衡平安性和可拜候性，不管是患者、大夫，仍是需要数据的第三方。

作者： 徐红志 来历： 年夜健康派 2019-07-04 15:39:01

自从美国医疗健康信息科技法案（HITECH）公布以来，医疗数据泄漏事务一向呈上升趋向。一部门缘由是一些医疗机构被要求表露曩昔未发布的背规行动，另外一部门缘由是医疗保健行业的IT平安依然是一项挑战。

Experian公司的研究注解，部门缘由是因为医疗保健行业网站数据平安的懦弱性。并指出，可以揣度网站检测到的IP数目，数以百万计的遭到进犯的医疗保健组织、利用法式、装备和系统向全球各地发送歹意数据包。

黑客和其他偷盗行动获得了人们的存眷，但年夜大都医疗数据泄漏的底子缘由是粗心年夜意：丢掉或被盗的硬件，文件没有加密，经由过程电子邮件或其他体例泄漏在收集上有无遭到庇护的健康信息，抛弃的纸质记实等等。

医疗保健行业若何当真看待数据平安？

医疗保健的数据其实不平安，这使人耽忧。部门缘由是医疗保健信息平安没有获得正视；而在年夜大都医疗机构中，因为缺少资金和专业常识，良多平安打算是不成熟的。而年夜大都的数据泄漏事实上是可以免的事务。

SANS医疗保健收集要挟查询拜访陈述强调了这一点。平安要挟谍报供给商Norse公司经由过程其全球收集或传感器，在2012年9月至2013年10月时代发现了近50,000个歹意事务，按照SANS研究所的查询拜访，该研究所阐发了Norse公司的数据并发布查询拜访陈述。绝年夜大都受影响的机构是医疗办事供给者（72％），其次是医疗保健贸易火伴（10%）和付款人（6%）。

SANS在其阐发中常常利用“正告”和“麻烦”的字眼。Sans高级阐发师和医疗保健专家Barbara Filkins写道：“可以揣度出，在这一方针样本中检测到的IP的绝对数目，以假定事实上稀有百万的遭到侵害的医疗保健机构、利用法式、装备和系统从全球各地发送歹意数据包。”

“跨越一半的歹意流量来自收集边沿装备，如VPN（高达33％）、防火墙（16％）和路由器（7％），这注解平安装备和利用法式自己或遭到侵害，或说这些庇护系统没有检测到来自受庇护鸿沟内收集端点的歹意流量。”Filkins写道。他还指出很多缝隙在几个月的时候都未被发现，毗连端点（如放射成像软件和数字视频系统）也占歹意流量的17％。

Norse公司首席履行官Sam Glines暗示，这源在合规与监管之间的脱节。简而言之，没有采取最好平安实践。例如，很多具有面向公家的界面的防火墙装备仍利用出厂默许的用户名和暗码。很多监控摄像头和收集毗连装备（如打印机）也是如斯，而它们的默许暗码不是经由过程黑客进犯，而是经由过程简单的互联网搜刮取得的。

Glines暗示，美国应当存眷欧盟的数据泄漏法，由于他们采纳完全分歧的方式，乃至操纵具体的说话来讲明甚么是合规的，甚么是不合规的。

移动医疗平安特别可疑

但是，在没有如许的监管的环境下，很难庇护患者的隐私。数据在病院情况中自由同享，临床系统更偏向在功能而非隐私，隐私和平安性凡是酿成开辟声明周期中的过后设法。在不竭成长的移动医疗市场中特别如斯，他们很年夜水平大将立异置在平安之前。

在手机健康利用法式认证商Haptique公司推出了首批医用利用法式以后，软件商Monkton Health公司首席履行官Smith决议测试和查抄一些利用法式。

他在逃狱的iPhone手机上安装了一个利用法式，并在不到一分钟的时候内就从一个纯文本、未加密的HTML5文件中获得了一些受庇护的电子健康信息（ePHI）。他还发现这些数据（特殊是血糖程度数据）是经由过程HTTP发送的，而不是HTTPS。他说，“这多是一个犯错缘由，是一个平安问题。”

Sm乐鱼体育appith测试的第二个利用法式也将受庇护的电子健康信息（ePHI）存储在未加密的纯文本文件中。固然这个利用法式利用HTTPS，但Smith在他的博客中指出它以纯文本情势发送用户名和暗码。

Happtique公司按照Smith的查询拜访成果暂停了其利用法式认证打算，但利用法式开辟人员自己（和医疗保健IT新闻网站和博客）对该问题进行了粉饰。这让Smith感应末路火，他说，“作为开辟移动健康软件的公司，假如有人告知我发现了缝隙，我会顿时找到他们反应这个问题。”

Smith暗示，移动健康利用法式需要进行数据加密。但是，很多开辟人员在移动利用开辟进程中，他们的数据库就没有加密。

繁琐的监管框架是医疗IT平安欠安的祸首罪魁吗？

律师事务所Pepper Hamilton的隐私、平安和数据庇护实践负责人Sharon Klein指出，在美国，有47种分歧的数据泄漏律例和多种监管框架。

Klein说，假如有整体尺度，它们来自美国国度尺度与手艺研究所，并指出美国卫生部一向利用NIST尺度。与此同时，其他机构也介入此中：

美国联邦商业委员会在搜集、传输、利用、保存和烧毁数据时强调设计隐私。

美国食物和药物治理局关在医疗装备和病院收集中收集平安的指南肯定了数据的秘密性，完全性和可用性。

在802.11无线平安性较弱的环境下，美国联邦通讯委员会针对临床通讯手艺发生的影响发布了有关短信和地舆定位的免责声明。

Klein说，斟酌到监管的纷歧致性，最好记实所做的一切，并为所有员工实行强有力的培训和意识打算。“最低要求”的政策限制了谁可以看到哪些数据，要害的是，跟着个体员工脚色的转变而转变，可以消弭没必要要的平安缝隙，一样恰当地去除数据标识。

Klein说，软件开辟者握有其他优先事项，假如有需要监管，需要将其隔离，并确保向消费者表露其正在获得的数据、打算若何处置这些数据、第三方可以拜候哪些数据、和在呈现问题时与谁联系。创业公司但愿率先推向市场，但在此进程中，他们常常将平安放在次要位置，只有在发现缝隙后才能弥补空白。

均衡医疗保健IT平安性和可拜候性

专家们遍及认为，保障健康数据平安的靠得住方式，必需均衡平安性和可拜候性，不管是患者、大夫，仍是需要数据的第三方。这一点特别主要，由于医疗保健行业强调更普遍的健康信息交换，这是供给更调和的护理的更年夜方针的一部门。

Glines说，“很长一段时候以来，平安性一向是过后的设法。此刻它必需成为构建的一部门。”他指出，假如没有实现平安性，那末利用法式底子不该该被发布。

Smith建议，开辟人员和平安专业人员可以像他一样测试iOS利用法式，并领会它是何等轻易被进犯。然后，他们应当问本身，“假如我在手机上存储所有的数据，除操作系统供给的功能以外，对此我还能做甚么？”

事实证实，即便在不竭转变的范畴，利用法式开辟人员也能够做良多工作。具体来讲，Smith指出了ViaForensics的平安移动开辟最好实践，该实践合用在iOS和Android操作系统。

鉴在Norse公司和SANS研究所的研究成果，Glines暗示可以在这两方面进行防护。一个是收集治理员关在“根基禁止和处置”工作，例如更改默许装备暗码，这可以带来简单壮大的转变。另外一方面是让履行人员领会忽视平安的影响。需要领会这类问题源在系统性掉败而不是单一进犯点。

Klein说，假如产生背规行动，特殊是假如人们知道存在缝隙而且没有修复的话，监管机构万万不要松弛。按照HIPAA综合法则，假如居心轻忽平安问题，背规企业将面对高达150万美元的罚款。

Glines暗示，良多组织最先改变他们的平安心态，而这也需要必然的进程。

存眷年夜健康Pai 官方微信：djkpai我们将按期推送医健科技财产最新资讯

19小时前

• 分类： 博鱼新闻
• 作者：博鱼
• 来源：集团新闻
• 发布时间：2024-08-19
• 访问量： 0