每個(gè)人都知道醫(yī)療信息技術(shù)安全問(wèn)題難以處理,,但并非每個(gè)人都有解決方法,。近期由HIMSS Media and Healthcare IT News主辦的隱私和安全論壇,旨在通過(guò)向醫(yī)療機(jī)構(gòu)提供可行的方法,,避免發(fā)生由于疏忽出現(xiàn)黑客,、違規(guī)、負(fù)面宣傳和罰款的風(fēng)險(xiǎn)。這12個(gè)秘訣將幫助HIPAA所覆蓋的實(shí)體和業(yè)務(wù)伙伴——例如付款人,、提供者,、廠商或分包人應(yīng)對(duì)更大的威脅,。與此同時(shí),,論壇分會(huì)討論了波士頓兒童醫(yī)院如何匿名反擊的過(guò)程,為醫(yī)療機(jī)構(gòu)提供第一手的應(yīng)對(duì)常見(jiàn)攻擊的資料,,提供了如何為應(yīng)對(duì)黑客襲擊做好準(zhǔn)備的相關(guān)建議,。
整裝待發(fā)
雖然衛(wèi)生與公眾服務(wù)部民權(quán)辦公室還未公布具體時(shí)間,但是HIPAA合規(guī)審計(jì)即將開(kāi)始,。民權(quán)辦公室醫(yī)療信息隱私高級(jí)顧問(wèn)Linda Sanches表示,,該機(jī)構(gòu)將開(kāi)展200次案面審計(jì)和一定數(shù)量的現(xiàn)場(chǎng)審計(jì),并稱除了HIPAA覆蓋的實(shí)體外HIPAA業(yè)務(wù)伙伴也納入審計(jì)范圍,。不要再猶豫了,,Sanches表示:“現(xiàn)在正是整裝待發(fā)的好機(jī)會(huì)。”開(kāi)展風(fēng)險(xiǎn)評(píng)估(后面有更詳細(xì)的描述),、了解業(yè)務(wù)伙伴,、加密設(shè)備、把握風(fēng)險(xiǎn),。“如果按照要求,,就能很容易地通過(guò)審計(jì)。”
聘用優(yōu)秀員工
醫(yī)療首席信息安全官可遇不可求,,部分是因?yàn)獒t(yī)療行業(yè)長(zhǎng)期的安全問(wèn)題,。無(wú)所不在的人才辯論取決于醫(yī)療機(jī)構(gòu)對(duì)業(yè)務(wù)或安全的敏銳性。
圣查爾斯衛(wèi)生系統(tǒng)信息安全主任John Pritchard表示,,著眼于機(jī)構(gòu)內(nèi)部,,鼓勵(lì)找到團(tuán)隊(duì)的精英。那些對(duì)信息安全感興趣的人可以讀一讀《杜鵑蛋》(The Cuckoo's Egg),,如果他們喜歡這本書(shū),,Pritchard就會(huì)繼續(xù)對(duì)話。(可隨后開(kāi)展適當(dāng)?shù)念I(lǐng)導(dǎo)力培訓(xùn)活動(dòng))
著眼于外部,,應(yīng)避免循規(guī)蹈矩,。可考慮經(jīng)驗(yàn)豐富的人員(推薦弗萊徹艾倫衛(wèi)生保健院首席信息安全官Heather Roszkowski),,或者行業(yè)經(jīng)驗(yàn)不太豐富,、學(xué)習(xí)網(wǎng)絡(luò)安全的大學(xué)生(例如哈佛朝圣者保健院首席信息安全官)。
開(kāi)展安全風(fēng)險(xiǎn)分析
在第一階段,,既要符合HIPAA安全規(guī)則,,也要求開(kāi)展安全風(fēng)險(xiǎn)分析。第二階段則要求加密和數(shù)據(jù)保密——但不要忘記數(shù)據(jù)完整性和有效性。賓夕法尼亞質(zhì)量見(jiàn)解公司(Quality Insights of Pennsylvania)Adam Kehler表示,。
除了簡(jiǎn)單的合規(guī)外(稍后將進(jìn)行更詳細(xì)的討論),,可考慮安全風(fēng)險(xiǎn)審計(jì)。哈佛醫(yī)學(xué)院波士頓貝斯以色列女執(zhí)事醫(yī)療中心在2013年波士頓馬拉松賽爆炸案后就進(jìn)行了安全風(fēng)險(xiǎn)審計(jì),。首席信息官John Halamka博士表示,,評(píng)估中需要了解身份管理、事件記錄和監(jiān)控,、管理,、用戶意識(shí)訓(xùn)練和云安全(即讓醫(yī)療服務(wù)提供者簽署業(yè)務(wù)伙伴協(xié)議)。Halamka表示,,工作流很關(guān)鍵,,這包括數(shù)據(jù)所有權(quán)、資產(chǎn)管理,、終端安全和“企業(yè)恢復(fù)力”,,或業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃。
管理風(fēng)險(xiǎn)就要承擔(dān)風(fēng)險(xiǎn)
對(duì)于新技術(shù),,管理風(fēng)險(xiǎn)就要承擔(dān)風(fēng)險(xiǎn),。安泰首席信息安全官Jim Routh采用了組合管理的方法,在成熟前就對(duì)新興技術(shù)進(jìn)行了投資(因此很昂貴),。例如,,他的最新網(wǎng)絡(luò)入侵檢測(cè)工具,成本僅為原先的4%,,留下足夠的資金投資于微分虛擬化和白名單工具,。另一個(gè)“風(fēng)險(xiǎn)”投資是幫助保險(xiǎn)公司發(fā)現(xiàn)冒牌貨。Routh表示,,在評(píng)估新產(chǎn)品公司時(shí),,應(yīng)把目光放在技術(shù)人員而非財(cái)務(wù)業(yè)績(jī)上。新安全技術(shù)的另一個(gè)好處:覆蓋了所謂的SMAC協(xié)議棧——社會(huì),、移動(dòng),、分析和云——優(yōu)于常規(guī)控制。
合規(guī)性只是開(kāi)始
CynergisTek首席執(zhí)行官M(fèi)ac McMillan表示,,合規(guī)不會(huì)帶來(lái)改變,,但是罰款和當(dāng)眾受窘會(huì)。HIPAA,、PCI和NIST等都闡明了安全標(biāo)準(zhǔn),,但是沒(méi)有解決各方面的強(qiáng)大風(fēng)險(xiǎn)管理問(wèn)題。Leidos健康副總裁Sean P. Murphy舉了一個(gè)例子,,你可以給數(shù)據(jù)加密,,認(rèn)為自己已經(jīng)完成了工作,。合規(guī)后最大的問(wèn)題是你是否原本需要這些數(shù)據(jù)。Fletcher Allen的Roszkowski指出:“如果我認(rèn)為這是正確的做法,,我不會(huì)等到有人告訴我才去做,。”
不要急于應(yīng)用BYOD(自帶設(shè)備辦公)
對(duì)于醫(yī)療行業(yè)來(lái)說(shuō),從攝像機(jī),、禁用設(shè)備到應(yīng)用程序?qū)拥脑L問(wèn),,BYOD自帶設(shè)備辦公模式具有挑戰(zhàn)性。其它行業(yè)的用戶不同于信息技術(shù)部門,,他們推動(dòng)了這個(gè)進(jìn)程,,并看到了提高生產(chǎn)力的潛力,。普羅維登斯醫(yī)療服務(wù)集團(tuán)首席信息安全官M(fèi)ichael Boyd設(shè)置了這個(gè)基準(zhǔn):如果上面的設(shè)備或數(shù)據(jù)不能被加密,,就不能與網(wǎng)絡(luò)連接。McMillan表示,,不要跟蹤設(shè)備,。“你可以抓住一些了解的設(shè)備,但是會(huì)錯(cuò)過(guò)不了解的設(shè)備,,”而是要控制數(shù)據(jù):“如果數(shù)據(jù)從不在外圍,,就不用擔(dān)心外圍的事情。”如果有所懷疑的話,,檢查風(fēng)險(xiǎn)預(yù)測(cè),。你需要什么樣的安全措施,就必須在哪里劃清界限?
重視廠商的選擇
讓信息技術(shù)和臨床成員參與到購(gòu)買團(tuán)隊(duì);每個(gè)團(tuán)隊(duì)都有不同的需求和考慮,。Post & Schell律所Steven Fox表示,,應(yīng)詢問(wèn)員工他們是否希望買車的流程。如果他們不喜歡,,就不要把他們編入團(tuán)隊(duì),。信息技術(shù)主管應(yīng)該提供建議,而不是做最后的決策,。這樣,,團(tuán)隊(duì)可在談判中回到他們身邊。
在簽署合同前,,設(shè)計(jì)軟件授權(quán)(在線與軟件即服務(wù)),、驗(yàn)收測(cè)試、保證,、機(jī)密性,、責(zé)任范圍和調(diào)解糾紛。Habif, Arogeti & Wynne公司信息擔(dān)保服務(wù)合作伙伴負(fù)責(zé)人Daniel Schroeder建議,,不讓要廠商以任何目的使用不確定的患者數(shù)據(jù),,除非他們真正理解HIPAA合規(guī)性。
注意內(nèi)部敵人
聯(lián)邦調(diào)查局特工Carmine Nigro認(rèn)為即將開(kāi)展的裁員行動(dòng)、對(duì)工作的不滿和醫(yī)療數(shù)據(jù)的轉(zhuǎn)售價(jià)值是導(dǎo)致內(nèi)部員工訪問(wèn)敏感信息的主要原因,。(記得Target泄露事件嗎?專家把員工,、醫(yī)學(xué)院學(xué)生、業(yè)務(wù)伙伴和承包商都列為內(nèi)部人,。)“你看到了什么,,就說(shuō)什么”監(jiān)控咒語(yǔ)很有效。應(yīng)查找在結(jié)束或合同失效后,,給向個(gè)人賬戶發(fā)送郵件進(jìn)行加密或訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)的人,。愛(ài)因斯坦醫(yī)療網(wǎng)絡(luò)首席信息安全官Anahi Santiago表示,必須給臺(tái)式機(jī)加密,,這樣能防止有意或無(wú)意數(shù)據(jù)泄露,。為了防止窺探病歷,Santiago建議“公開(kāi)質(zhì)詢”被抓到的人,,“每個(gè)人都知道我們正在關(guān)注,。”
注意潛在風(fēng)險(xiǎn)
Parkland醫(yī)療和醫(yī)院系統(tǒng)首席信息官、高級(jí)副總裁Fernando Martinez表示,,“隱藏的陷阱”遍及醫(yī)療機(jī)構(gòu),。每個(gè)事物都會(huì)有潛在的風(fēng)險(xiǎn),他建議:
·云儲(chǔ)存(訪問(wèn)權(quán)限)
·分布式數(shù)據(jù)(很容易分享)
·身份管理(輕易破解的密碼)
·社會(huì)工程(人性)
·BYOD自帶設(shè)備辦公(包括閃存盤)
·醫(yī)療器械(潛在的利用向量,,尤其是業(yè)務(wù)伙伴)
·數(shù)據(jù)泄露疲勞(不可避免地招致自滿)
為了應(yīng)對(duì)潛在的風(fēng)險(xiǎn),,Martinez建議可開(kāi)展網(wǎng)絡(luò)保險(xiǎn)、數(shù)據(jù)分層抽象,、異常行為檢測(cè),、事件記錄、模擬網(wǎng)絡(luò)釣魚(yú)攻擊等實(shí)踐教育活動(dòng),。這些措施不能馬上解決醫(yī)療信息技術(shù)安全問(wèn)題,,但是卻可以把這些問(wèn)題暴露公之于眾。
重視社交媒體
哈洛集團(tuán)負(fù)責(zé)人David Harlow表示,,醫(yī)院使用社會(huì)媒體與患者聯(lián)系,,醫(yī)院?jiǎn)T工使用社交媒體進(jìn)行社交。制定醫(yī)療社交媒體規(guī)定必須明確且具包容性的過(guò)程,。他建議:
·限制訪問(wèn)品牌賬戶的“官方”發(fā)言人,。
·既然三角法可發(fā)現(xiàn)匿名化處理,可以用于獲取照片或帖子上的許可權(quán)限設(shè)置,。
·裝配“休息室”電腦(分網(wǎng)),,員工可安全訪問(wèn)個(gè)人社交媒體賬戶。
·避免嚴(yán)格限制員工個(gè)人帖子;國(guó)家勞資關(guān)系委員會(huì)保護(hù)某些類型的言論,。
·不要認(rèn)為人們可看清其中的因果聯(lián)系,。一旦有疑惑,,就說(shuō)出來(lái)。
·總之,,在綜合風(fēng)險(xiǎn)分析中應(yīng)包括社交媒體,。
注意迫在眉睫的威脅
報(bào)紙頭條可推動(dòng)安全計(jì)劃的推行(想想社區(qū)醫(yī)療系統(tǒng)),但是“在報(bào)紙上的信息只是冰山一角,,”大學(xué)醫(yī)療中心首席信息安全官Phil Alexander指出,。換而言之,醫(yī)療機(jī)構(gòu)必須預(yù)測(cè)未來(lái),,而不是參加戰(zhàn)爭(zhēng),。Fletcher Allen的 Roszkowski曾在軍隊(duì)工作11年。
不僅如此,,很多威脅可能需要數(shù)月或數(shù)年才能被發(fā)現(xiàn),。原因是網(wǎng)絡(luò)犯罪“非常成熟復(fù)雜,”聯(lián)盟醫(yī)療體系副首席信息安全官Esmond Kane表示,,這體現(xiàn)在他們?cè)L問(wèn)信息(“路過(guò)式襲擊”)以及他們的處理方式(黑市銷售)上,。如果有什么消息令人安慰,,CynergisTek的McMillan表示,,那就是今天的罪犯瞄準(zhǔn)每個(gè)人,與個(gè)人無(wú)關(guān),。
盡力而為
賽門鐵克美國(guó)醫(yī)療行業(yè)東部地區(qū)主任Nathan Russ表示,,醫(yī)療行業(yè)想用五年的時(shí)間實(shí)現(xiàn)安全智能,而金融服務(wù)行業(yè)卻用25年的時(shí)間來(lái)做這件事情,。由于醫(yī)療行業(yè)正在遭受有針對(duì)性的攻擊,,所以現(xiàn)在正是提高安全性的關(guān)鍵時(shí)刻。Russ提供了下列切實(shí)可行的建議:
·資產(chǎn)性存貨
·補(bǔ)丁管理
·虛擬伺服器安全
·終端安全
·防火墻和沙箱等補(bǔ)償控制
·安全管理服務(wù)
·大容量功能的云使用
·病歷確切的數(shù)據(jù)匹配
·病人門戶用戶多重身份驗(yàn)證
·合規(guī)訓(xùn)練是安全預(yù)算的晴雨表
一言以蔽之:“我們要一直假設(shè)每個(gè)網(wǎng)絡(luò)一直都會(huì)受到攻擊,。”
