【独家】医疗安全保护仍停留于石器时代

4月22日，目前美国排名第一的运营商威瑞森(Verizon)发布了2014数据泄密报告。这份报告显示，医疗行业在安全方面“落后于形势”。

医疗行业在隐私和安全领域有几件不同的事情要做，其中之一就是必须认真对待医疗隐私安全——这是根据威瑞森2014年度数据泄密报告得出的结论。

2014年新的威瑞森数据泄密调查报告凸显了很多行业在隐私和安全方面的粗心大意，其中尤以医疗行业为甚。

威瑞森风险小组高级分析师Suzanne Widup在接受Healthcare IT News 网站采访时，就报告中提到的问题谈到：“医疗行业在安全意识上似乎有些落后，比如我们目睹的其他行业早已实施有关医疗安全的各种管制，而医疗行业现在才开始着手应用。”

加密刻不容缓

该行业的最大的失误是什么?加密、加密、还是加密。

此次参与报告的威瑞森研究人员考察了大约6.3万个安全事件，同时还审查了50个数据共享合作伙伴身上超过 1300起泄密事件，最终他们发现46%的数据泄露事件源于物理盗窃或加密设备的丢失。这是该报告19个行业分析中最高的百分比。值得一提的是，不仅各医疗机构未能加密移动设备和笔记本电脑，医疗员工也对如何加强这些设备的安全性显得特别疏忽，比如让设备毫无安全性的留在个人住宅或私人车辆中。

Widup表示：“我们看到，物理盗窃和数据丢失是医疗领域最大、最常见的问题。这真的让我惊讶，因为其他行业对此已经相当熟悉了，而且这件事情做起来非常简单。然而医疗行业却对此相当疏忽。”

“虽然联邦政府让各医疗机构强制执行HIPAA(《健康保险可携带性和责任法案》)中有关隐私和安全漏洞的通知要求，但这并不能改变以下现实，即这些机构仍然未能实施基本的加密实践，Widup补充道。

医疗行业存在多重危险因素

医疗部门也看到在内部滥用类别中自身第二高的数字：基于内部滥用而发生的医疗安全事件高达15%，这个数字也高于其他13个行业。只有行政、矿业、公共部门、房地产和交通运输行业比例更高一点。

Widup说，他们目睹了“不少”的内部滥用，尤其是与有组织的犯罪团体相关，比如他们中或者有人被招募为内部人员，或者专门被送到医疗机构工作，最终帮助获得易被货币化的敏感信息，正如社会保险号与患者病历相关一样。

Widup指出，税务欺诈也在这一类,，特别是在佛罗里达州。她说：“佛罗里达处于这种攻击的最前沿。”

此外，还有员工窥探问题，Widup表示该问题实际上是被低估了，因为它缺乏像税务欺诈那样的财务支持。

Widup表示，控制这些事情发生最有效的方法是审计你的用户和数据。“你需要知道谁有这些数据，谁能访问这些数据，而且你需要监控它。当你看到某机构实施某种形式的审计计划，突然之间他们就能开始找到很多以前看不到东西。”

医疗行业在混杂错误分类中也很“突出”，该类别在行业安全事件中占到12%。

这种一般在以下情况发生：员工把文件或电子邮件发错了收件人，或发布了他们认为是受到保护的数据，但事实证明，这些数据通过简单的谷歌搜索就能找到。

去年在three-hospital Cottage医疗机构发生了一起典型案例，由于电子安全保护的移除，患者数据在谷歌中被发现，导致近3.3万名患者健康信息被盗用。

最近，田纳西州纳什维尔为基地的Cogent Healthcare也报道了一次类似事件，该医院正在使用的储存的患者数据网站防火墙倒塌，使约3.2万名患者受保护的健康信息被泄露。

Widup强调，通过一个简单的质量抽样过程通常就能避免这种类型事件的发生。在启动整个系统之前先抽查一下。这种类型的质量保险事件对很多行业来说都是最基本的，但他们就不考虑这样的事情。”

Widup指出，销售点入侵是该行业的另一种安全失败，大概会有 9%的发生率。

Widup说：“虽然很多医疗机构高管和医护人员确实意识到保护患者隐私非常重要，但在他们心目中，这还没有达到像保护财务信息那样的重要程度。”其实他们查看每天的收入、甚至在医院食堂买东西的时候就能看到很多电脑设备处于危险状态。Widup表示，通常医疗机构会将销售网点系统外包，而销售商一般都能对此通过互联网访问，而密码方案也是“非常简单”。

原文标题：Healthcare security stuck in Stone Age

原文作者：Erin McCann