任何从事信息技术安全工作的人都可以证明,这份工作可不像在公园散步那么简单。工作中不断遇到新威胁、合规要求、漏洞和更新问题。然而,有了强有力的领导,并营造遵守法规、负责任的文化,很多医疗机构在这方面都做得很好。
Beth Israel Deaconess医疗中心首席信息官、医学博士John Halamka指出,作为一名首席信息官,首先需要明白身上所肩负的重大责任。
这涉及到思考如何给每个设备加密以及如何保护数据中心免受内外部攻击等问题。
“我需要做哪些事情才能达到医院的要求,并经常思考:‘系统有哪些风险?有哪些患者隐私权被侵犯的风险?有哪些数据整合风险?我们永远不会做得完美无缺,’”他说,“但是我们可以落实到位,我将其称为‘多层防御’。”
确保隐私性和安全性的另一个关键因素是什么?开展适当的风险分析。
“这是OCR调查(编辑注:OCR是一种能够将图像中的文字自动识别录入到电脑中的软件技术)最重要的文件。”关注医疗保密性的BakerHostetler律所合伙人Lynn Sessions表示,“OCR技术希望从风险分析的角度,看看机构是否意识到风险,并采取了哪些措施。”
Sessions解释,这包括机构在技术、实物、行政等方面落实的保障措施,例如员工培训教育、为未加密的设备进行渗透测试、安装电缆锁或跟踪器。
加密
“加密、加密、加密。”Sessions对此字眼强调三遍,可见在他心中的重要性。对于HIPAA违反申报要求来说,这是安全的港湾,但是仍然未能激励某些人。
“实物丢失和盗窃无疑是医院面临的最大问题。”威瑞森公司风险小组高级分析师Suzanne Widup在谈到4月发布的2014年威瑞森泄露报告时指出,“这仍然是一个很大的问题,真令我惊讶。其它行业似乎已经做得很好。”
OCR调研数据显示,未加密笔记本电脑和设备的盗窃和丢失占HIPAA违反保密性和安全性事件的大部分,接近60%。(黑客约占7%,未授权披露占16%)。
Widup表示,由于联邦政府向各个机构提出了具体的HIPAA违反保密性和安全性申报要求,但是现实情况却是这些机构未能采取基本的加密措施,导致医疗泄露事件略有上涨。
Sessions承认,这是价格问题。“电子病历问世以后,报销额减少,技术成本上涨,医疗机构思考应重点把资金投入在哪方面。”
2011年波尼蒙研究所报告显示,每位用户每年全盘加密平均成本大约为232美元,这是总拥有成本。数据显示,这个数字可攀升到每位用户每年可高达399美元。
凯萨医疗机构首席安全官和技术风险官Jim Doggett表示,由于成本和数据本身的原因,加密代表着挑战。“数据数量巨大。”他告诉Healthcare IT News网站。
Doggett表示,这家38家医院卫生系统对端设备的数据和传输的敏感数据加密。Doggett目前带领一个300人的技术风险管理小组,负责27.3万台式电脑、6.5万台笔记本电脑、2.17万部智能手机和2.1万台服务器。不仅如此,Doggett及其团队还负责凯萨900万会员的医疗数据。
“规模如此之大,我们面临着巨大挑战,不仅需要技术团队工作严谨、保持警惕,同时还需要凯萨医疗机构每一位成员也这样做,”他说。
佛罗里达梅奥诊所医疗信息管理服务与安全主任Barbara McCarthy表示,梅奥诊所也在全机构内进行了加密。除了对机构分发的台式机、笔记本电脑、闪存盘等加密外,所有发送到Mayo.edu的电子邮件如果包含保密医疗信息也需要加密。
McCarthy指出,梅奥还有一个数据丢失保护应用程序。McCarthy监控发送的电子邮件,对可能披露保密医疗信息的邮件进行筛选。如果发生泄漏事件,梅奥合规主任通过向发布信息的用户直接发送电子邮件来解决这个问题。除了当事人以外还会抄送站点安全主任。“发送的电子邮件措辞强硬,”McCarthy表示,“把数据要回来,杜绝此类事件再次发生。”
员工教育
正如梅奥诊所医学博士Mark Parkulo所言:“加密工作量巨大,非常有必要,但是机构还需要考虑保密性和安全性的规定和程序问题——员工教育具有重大意义。”
“有些问题是真正的教育问题,”梅奥诊所电子健康档案“有意义使用”协调小组副总裁Parkulo在接受Healthcare IT News采访时表示,“很多医疗服务提供者不了解典型的未加密的电子邮件;不确定到哪些地方,无论是否被拦截。”
这些现实问题意味着梅奥诊所需要在全年向医疗服务提供者进行教育。
Parkulo表示,梅奥首先为员工进行标准教育培训。“每年,我们要开展好几次培训,尤其是电子邮件、会诊、网站上发送期刊。”有时甚至通过梅奥诊所首席执行官发送。“我们通过各种方式对他们进行教育。”
McCarthy解释说,梅奥已经在公司层面将注意力放在了HIPAA规定上。“统一全公司的所有站点程序需要竭尽全力。”她强调。
凯萨的Doggett对此表示同意。“遵守条例是每个人应付的义务,”他说,“我们的行为准则、遵守条约、合规培训课程明确了此目标。”
Sessions提醒,除了出台规定外,还有很多事情要做。医疗行业“要处理的规定很多,”她说,“就书面规定而言,已经做得很好。连接终端用户安全方面的工作我觉得更难。”
在保密性方面,也需要从安全角度考虑——这完全不是一维问题。
Beth Israel Deaconess医疗中心首席信息安全官Phil Lerner表示,他有很多重点工作要做。“持续监控是第一要务,技术已经能实现全方面的检查,”他告诉我们。然后是供应链的安全问题,“通常是技术取证、移动设备取证、应急响应等。”
近期“心脏出血”漏洞和网络攻击等威胁不断增长——约40%的医疗机构今年遇到数据攻击。波耐蒙研究所的数据表明,安全问题是医疗机构的头等大事。
医疗行业专业人士的经历表明,医疗保密性和信息安全性不能在真空中进行。过去的情况表明,医疗行业经常说“请相信我们会保护您最隐私的信息,但是我们没有防火墙来保护,可能意外地把信息在网上发布,我们不会给信息加密,也不会监控员工访问信息。”
其实现实很多案例表明,上述的言论和认识都是错误的,这不仅是专业人士的责任和义务,也关系到医疗机构的成本、信誉、医患之间的互信任关系。当然,信息技术在加强医疗安全保护方面的重要性不言而喻,目前的情况也会越变越好。
原文标题:Security tips from the health IT pros
原文作者:Erin McCann
| 验证码: | 点击图片可刷新验证码 | |||
