每個(gè)人都知道醫(yī)療信息技術(shù)安全問題難以處理,但并非每個(gè)人都有解決方法,。近期由HIMSS Media and Healthcare IT News主辦的隱私和安全論壇,,旨在通過向醫(yī)療機(jī)構(gòu)提供可行的方法,避免發(fā)生由于疏忽出現(xiàn)黑客,、違規(guī),、負(fù)面宣傳和罰款的風(fēng)險(xiǎn)。這12個(gè)秘訣將幫助HIPAA所覆蓋的實(shí)體和業(yè)務(wù)伙伴——例如付款人,、提供者,、廠商或分包人應(yīng)對(duì)更大的威脅。與此同時(shí),,論壇分會(huì)討論了波士頓兒童醫(yī)院如何匿名反擊的過程,為醫(yī)療機(jī)構(gòu)提供第一手的應(yīng)對(duì)常見攻擊的資料,提供了如何為應(yīng)對(duì)黑客襲擊做好準(zhǔn)備的相關(guān)建議,。
整裝待發(fā)
雖然衛(wèi)生與公眾服務(wù)部民權(quán)辦公室還未公布具體時(shí)間,,但是HIPAA合規(guī)審計(jì)即將開始。民權(quán)辦公室醫(yī)療信息隱私高級(jí)顧問Linda Sanches表示,,該機(jī)構(gòu)將開展200次案面審計(jì)和一定數(shù)量的現(xiàn)場(chǎng)審計(jì),,并稱除了HIPAA覆蓋的實(shí)體外HIPAA業(yè)務(wù)伙伴也納入審計(jì)范圍。不要再猶豫了,,Sanches表示:“現(xiàn)在正是整裝待發(fā)的好機(jī)會(huì),。”開展風(fēng)險(xiǎn)評(píng)估(后面有更詳細(xì)的描述)、了解業(yè)務(wù)伙伴,、加密設(shè)備,、把握風(fēng)險(xiǎn)。“如果按照要求,,就能很容易地通過審計(jì),。”
聘用優(yōu)秀員工
醫(yī)療首席信息安全官可遇不可求,部分是因?yàn)獒t(yī)療行業(yè)長(zhǎng)期的安全問題,。無所不在的人才辯論取決于醫(yī)療機(jī)構(gòu)對(duì)業(yè)務(wù)或安全的敏銳性,。
圣查爾斯衛(wèi)生系統(tǒng)信息安全主任John Pritchard表示,著眼于機(jī)構(gòu)內(nèi)部,,鼓勵(lì)找到團(tuán)隊(duì)的精英,。那些對(duì)信息安全感興趣的人可以讀一讀《杜鵑蛋》(The Cuckoo's Egg),如果他們喜歡這本書,,Pritchard就會(huì)繼續(xù)對(duì)話,。(可隨后開展適當(dāng)?shù)念I(lǐng)導(dǎo)力培訓(xùn)活動(dòng))
著眼于外部,應(yīng)避免循規(guī)蹈矩,??煽紤]經(jīng)驗(yàn)豐富的人員(推薦弗萊徹艾倫衛(wèi)生保健院首席信息安全官Heather Roszkowski),或者行業(yè)經(jīng)驗(yàn)不太豐富,、學(xué)習(xí)網(wǎng)絡(luò)安全的大學(xué)生(例如哈佛朝圣者保健院首席信息安全官),。
開展安全風(fēng)險(xiǎn)分析
在第一階段,既要符合HIPAA安全規(guī)則,,也要求開展安全風(fēng)險(xiǎn)分析,。第二階段則要求加密和數(shù)據(jù)保密——但不要忘記數(shù)據(jù)完整性和有效性。賓夕法尼亞質(zhì)量見解公司(Quality Insights of Pennsylvania)Adam Kehler表示,。
除了簡(jiǎn)單的合規(guī)外(稍后將進(jìn)行更詳細(xì)的討論),,可考慮安全風(fēng)險(xiǎn)審計(jì)。哈佛醫(yī)學(xué)院波士頓貝斯以色列女執(zhí)事醫(yī)療中心在2013年波士頓馬拉松賽爆炸案后就進(jìn)行了安全風(fēng)險(xiǎn)審計(jì),。首席信息官John Halamka博士表示,,評(píng)估中需要了解身份管理、事件記錄和監(jiān)控、管理,、用戶意識(shí)訓(xùn)練和云安全(即讓醫(yī)療服務(wù)提供者簽署業(yè)務(wù)伙伴協(xié)議),。Halamka表示,工作流很關(guān)鍵,,這包括數(shù)據(jù)所有權(quán),、資產(chǎn)管理、終端安全和“企業(yè)恢復(fù)力”,,或業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃,。
管理風(fēng)險(xiǎn)就要承擔(dān)風(fēng)險(xiǎn)
對(duì)于新技術(shù),管理風(fēng)險(xiǎn)就要承擔(dān)風(fēng)險(xiǎn),。安泰首席信息安全官Jim Routh采用了組合管理的方法,,在成熟前就對(duì)新興技術(shù)進(jìn)行了投資(因此很昂貴)。例如,,他的最新網(wǎng)絡(luò)入侵檢測(cè)工具,,成本僅為原先的4%,留下足夠的資金投資于微分虛擬化和白名單工具,。另一個(gè)“風(fēng)險(xiǎn)”投資是幫助保險(xiǎn)公司發(fā)現(xiàn)冒牌貨,。Routh表示,在評(píng)估新產(chǎn)品公司時(shí),,應(yīng)把目光放在技術(shù)人員而非財(cái)務(wù)業(yè)績(jī)上,。新安全技術(shù)的另一個(gè)好處:覆蓋了所謂的SMAC協(xié)議棧——社會(huì)、移動(dòng),、分析和云——優(yōu)于常規(guī)控制,。
合規(guī)性只是開始
CynergisTek首席執(zhí)行官M(fèi)ac McMillan表示,合規(guī)不會(huì)帶來改變,,但是罰款和當(dāng)眾受窘會(huì),。HIPAA、PCI和NIST等都闡明了安全標(biāo)準(zhǔn),,但是沒有解決各方面的強(qiáng)大風(fēng)險(xiǎn)管理問題,。Leidos健康副總裁Sean P. Murphy舉了一個(gè)例子,你可以給數(shù)據(jù)加密,,認(rèn)為自己已經(jīng)完成了工作,。合規(guī)后最大的問題是你是否原本需要這些數(shù)據(jù)。Fletcher Allen的Roszkowski指出:“如果我認(rèn)為這是正確的做法,,我不會(huì)等到有人告訴我才去做,。”
不要急于應(yīng)用BYOD(自帶設(shè)備辦公)
對(duì)于醫(yī)療行業(yè)來說,從攝像機(jī),、禁用設(shè)備到應(yīng)用程序?qū)拥脑L問,,BYOD自帶設(shè)備辦公模式具有挑戰(zhàn)性,。其它行業(yè)的用戶不同于信息技術(shù)部門,他們推動(dòng)了這個(gè)進(jìn)程,,并看到了提高生產(chǎn)力的潛力,。普羅維登斯醫(yī)療服務(wù)集團(tuán)首席信息安全官M(fèi)ichael Boyd設(shè)置了這個(gè)基準(zhǔn):如果上面的設(shè)備或數(shù)據(jù)不能被加密,,就不能與網(wǎng)絡(luò)連接,。McMillan表示,不要跟蹤設(shè)備,。“你可以抓住一些了解的設(shè)備,,但是會(huì)錯(cuò)過不了解的設(shè)備,”而是要控制數(shù)據(jù):“如果數(shù)據(jù)從不在外圍,,就不用擔(dān)心外圍的事情,。”如果有所懷疑的話,檢查風(fēng)險(xiǎn)預(yù)測(cè),。你需要什么樣的安全措施,,就必須在哪里劃清界限?
重視廠商的選擇
讓信息技術(shù)和臨床成員參與到購(gòu)買團(tuán)隊(duì);每個(gè)團(tuán)隊(duì)都有不同的需求和考慮。Post & Schell律所Steven Fox表示,,應(yīng)詢問員工他們是否希望買車的流程,。如果他們不喜歡,就不要把他們編入團(tuán)隊(duì),。信息技術(shù)主管應(yīng)該提供建議,,而不是做最后的決策。這樣,,團(tuán)隊(duì)可在談判中回到他們身邊,。
在簽署合同前,設(shè)計(jì)軟件授權(quán)(在線與軟件即服務(wù)),、驗(yàn)收測(cè)試,、保證、機(jī)密性,、責(zé)任范圍和調(diào)解糾紛,。Habif, Arogeti & Wynne公司信息擔(dān)保服務(wù)合作伙伴負(fù)責(zé)人Daniel Schroeder建議,不讓要廠商以任何目的使用不確定的患者數(shù)據(jù),,除非他們真正理解HIPAA合規(guī)性,。
注意內(nèi)部敵人
聯(lián)邦調(diào)查局特工Carmine Nigro認(rèn)為即將開展的裁員行動(dòng)、對(duì)工作的不滿和醫(yī)療數(shù)據(jù)的轉(zhuǎn)售價(jià)值是導(dǎo)致內(nèi)部員工訪問敏感信息的主要原因,。(記得Target泄露事件嗎?專家把員工,、醫(yī)學(xué)院學(xué)生、業(yè)務(wù)伙伴和承包商都列為內(nèi)部人,。)“你看到了什么,,就說什么”監(jiān)控咒語很有效,。應(yīng)查找在結(jié)束或合同失效后,給向個(gè)人賬戶發(fā)送郵件進(jìn)行加密或訪問遠(yuǎn)程網(wǎng)絡(luò)的人,。愛因斯坦醫(yī)療網(wǎng)絡(luò)首席信息安全官Anahi Santiago表示,,必須給臺(tái)式機(jī)加密,這樣能防止有意或無意數(shù)據(jù)泄露,。為了防止窺探病歷,,Santiago建議“公開質(zhì)詢”被抓到的人,“每個(gè)人都知道我們正在關(guān)注,。”
注意潛在風(fēng)險(xiǎn)
Parkland醫(yī)療和醫(yī)院系統(tǒng)首席信息官,、高級(jí)副總裁Fernando Martinez表示,“隱藏的陷阱”遍及醫(yī)療機(jī)構(gòu),。每個(gè)事物都會(huì)有潛在的風(fēng)險(xiǎn),,他建議:
·云儲(chǔ)存(訪問權(quán)限)
·分布式數(shù)據(jù)(很容易分享)
·身份管理(輕易破解的密碼)
·社會(huì)工程(人性)
·BYOD自帶設(shè)備辦公(包括閃存盤)
·醫(yī)療器械(潛在的利用向量,尤其是業(yè)務(wù)伙伴)
·數(shù)據(jù)泄露疲勞(不可避免地招致自滿)
為了應(yīng)對(duì)潛在的風(fēng)險(xiǎn),,Martinez建議可開展網(wǎng)絡(luò)保險(xiǎn),、數(shù)據(jù)分層抽象、異常行為檢測(cè),、事件記錄,、模擬網(wǎng)絡(luò)釣魚攻擊等實(shí)踐教育活動(dòng)。這些措施不能馬上解決醫(yī)療信息技術(shù)安全問題,,但是卻可以把這些問題暴露公之于眾,。
重視社交媒體
哈洛集團(tuán)負(fù)責(zé)人David Harlow表示,醫(yī)院使用社會(huì)媒體與患者聯(lián)系,,醫(yī)院?jiǎn)T工使用社交媒體進(jìn)行社交,。制定醫(yī)療社交媒體規(guī)定必須明確且具包容性的過程。他建議:
·限制訪問品牌賬戶的“官方”發(fā)言人,。
·既然三角法可發(fā)現(xiàn)匿名化處理,,可以用于獲取照片或帖子上的許可權(quán)限設(shè)置。
·裝配“休息室”電腦(分網(wǎng)),,員工可安全訪問個(gè)人社交媒體賬戶,。
·避免嚴(yán)格限制員工個(gè)人帖子;國(guó)家勞資關(guān)系委員會(huì)保護(hù)某些類型的言論。
·不要認(rèn)為人們可看清其中的因果聯(lián)系,。一旦有疑惑,,就說出來。
·總之,,在綜合風(fēng)險(xiǎn)分析中應(yīng)包括社交媒體,。
注意迫在眉睫的威脅
報(bào)紙頭條可推動(dòng)安全計(jì)劃的推行(想想社區(qū)醫(yī)療系統(tǒng)),但是“在報(bào)紙上的信息只是冰山一角,,”大學(xué)醫(yī)療中心首席信息安全官Phil Alexander指出,。換而言之,,醫(yī)療機(jī)構(gòu)必須預(yù)測(cè)未來,而不是參加戰(zhàn)爭(zhēng),。Fletcher Allen的 Roszkowski曾在軍隊(duì)工作11年,。
不僅如此,很多威脅可能需要數(shù)月或數(shù)年才能被發(fā)現(xiàn),。原因是網(wǎng)絡(luò)犯罪“非常成熟復(fù)雜,,”聯(lián)盟醫(yī)療體系副首席信息安全官Esmond Kane表示,這體現(xiàn)在他們?cè)L問信息(“路過式襲擊”)以及他們的處理方式(黑市銷售)上,。如果有什么消息令人安慰,,CynergisTek的McMillan表示,,那就是今天的罪犯瞄準(zhǔn)每個(gè)人,,與個(gè)人無關(guān)。
盡力而為
賽門鐵克美國(guó)醫(yī)療行業(yè)東部地區(qū)主任Nathan Russ表示,,醫(yī)療行業(yè)想用五年的時(shí)間實(shí)現(xiàn)安全智能,,而金融服務(wù)行業(yè)卻用25年的時(shí)間來做這件事情。由于醫(yī)療行業(yè)正在遭受有針對(duì)性的攻擊,,所以現(xiàn)在正是提高安全性的關(guān)鍵時(shí)刻,。Russ提供了下列切實(shí)可行的建議:
·資產(chǎn)性存貨
·補(bǔ)丁管理
·虛擬伺服器安全
·終端安全
·防火墻和沙箱等補(bǔ)償控制
·安全管理服務(wù)
·大容量功能的云使用
·病歷確切的數(shù)據(jù)匹配
·病人門戶用戶多重身份驗(yàn)證
·合規(guī)訓(xùn)練是安全預(yù)算的晴雨表
一言以蔽之:“我們要一直假設(shè)每個(gè)網(wǎng)絡(luò)一直都會(huì)受到攻擊。”
