对于公司而言,安全简直像一场噩梦,医疗行业的特殊性质使该情况雪上加霜。由于政府出台了各种医疗数据管理规定,各种影响安全的移动设备的普及,需要让小型医疗机构(独立经营的企业,一般没有信息技术员工)能够通过网络访问所有文件,拥有变更/添加敏感数据的特权。
但是有什么方法能够真正实现更安全的访问?同时不但要确保这些方法可行,甚至能带来效益?很多业内人士表示这种方法的确存在,参与者必须同意在开始时就高度重视安全问题。
对云的担心
波士顿联盟医疗体系(Partners HealthCare)前首席信息安全官、纽昂斯通讯公司(Nuance Communications)现首席信息安全官Jennings Aske表示,医疗信息技术安全最大的威胁一定是云服务器和电子邮件。思索片刻,Jennings Aske指出,更准确地说,消费级云和电子邮件服务中患者的医疗数据等敏感信息的安全并没有得到保障。
“大部分从业者缺乏安全意识,”Aske说,“他们不知道使用Dropbox、雅虎邮箱或Gmail的风险。我最大的顾虑是他们用云来保存病历。我知道有一个医生把每一份病历都备份到云驱动器中。”
信息技术不能阻止医生做出这种不顾后果的举动,我们应该鼓励医生更好地了解安全问题。“我非常愿意看到医学院能够开设安全课程。”Aske说。
信息中心能否转变为利润中心?
大部分人同意,医疗安全链最薄弱的环节是这些需要充分获得医院特权的小型独立医疗机构。如果这些机构的员工采取的安全措施比较薄弱,机构就不能确保可靠性和安全性。
但是如果在给予医院特权的同时,对它们又提出了信息技术方面的要求,强迫独立医疗机构不仅要遵守一系列的信息技术规定,而且要求她们根据预先核准的列表,使用上面列出的一家信息技术公司的服务。
是好或是坏,取决于你的视角——如果要求这些独立公司与医院内部信息技术服务签订合同怎么样?从理论上讲,这将在解决安全问题的同时为医疗集团增加了收入和利润。
一家名为医疗信息技术合规公司Acentec的首席执行官Jeff Mongelli描述了这个问题:这家独立的医生诊疗室“可能通过加密VPN隧道连接到赛达斯-西奈医院。”他说,“但是如果安全工作很不到位,就会创建一个(电脑窃贼)网关。他的服务器上可能有一个用了10年之久的消费级防火墙和过时的防病毒软件。但是这并不能防止他在玩游戏时无意下载了病毒。”
Mongelli表示,未来几年,医院集团只能采取措施防止此情况发生。
“医院未来会对实验室、成像中心、医生等与之连接的有关各方提出更高的遵从标准,包括审查信息技术基础设施的权利。”他强调。
这可能必须包括突击检查。“信息技术员工很懒惰。他们一知道有人在附近巡视,就会把所有东西都收拾干净。”他指出。如果他们不知道什么时候检查,就会持续保持警惕。
Mongelli 表示,下阶段就要在医院创造一个虚拟的信息技术员工,如果有人想连接网络就要付费——他把这称之为“一个不可避免的变革”。
听上去更可怕吗?这可能不会阻止医院集团的脚步。“保险公司可能会得出相同的结论。”他强调。
Aske指出,他很赞成这一想法,但是对这种做法的实用性和可行性表示怀疑。
“落在书面上很容易,但是落实起来却很难,”他说,“医疗机构在实施扩大医疗交互平台方面动作就很缓慢,提高安全性会有什么不同呢?”
医生做事心不在焉增加安全隐患
出于纯碎的安全和监管考虑,医疗机构可能把工作重点放在增强认证系统方面,医生诊疗室也可能会抵制,究其原因竟然是令人意想不到的提高效率。
很多医生诊疗室,尤其是专家,宁愿避免严格的认证,因为这将暴露医生让管理人员使用自己的账号和密码开具处方等行为。
“抄写员、护士等使用医生账户开立医嘱、开具处方的做法司空见惯,让人嗤之以鼻。”Mongelli说。
重点工作应该放在游说方面,让更多的州允许医生——或者他们指定的任何人——处理处方和其它医嘱,只要这些决定是由医生做出的。医生除了能做决定外,还能授权密钥。
在这种情况下,护士和其他医疗行政人员可以自行登录。然而,如果有人得到了错误的指令,开具的处方伤害了患者,那么要由医生承担责任。(如果被指派人故意违背医生的指令伤害患者的话,案例就可能更复杂。)
与此同时,Mongelli表示,信息技术必须坚持采用快速解决问题的办法。
他认为:“由于采用了计算机化医嘱录入系统,这些机构需要让医生自己来做。这个问题最终将自行解决。年轻医生处理电子文档更轻松。”
医生携带移动设备提高了医疗服务质量,但是却造成严重的安全隐患。医生常常做事心不在焉,把设备放错地方。
把设备放错地方有关的各种风险就像一个好消息和坏消息的笑话。
好消息:医疗信息技术行业尽可能将少量的数据保存在设备上,因此几乎所有信息都能从网络无线获取。
坏消息:这意味着控制一台设备可访问等更多的信息——任何保存在连接服务器上的信息。
好消息:安全性高的密码可安全访问网络,意味着窃贼会有被锁定的电话或平板电脑。
坏消息:医疗专家可能不愿意使用安全性高的密码
坏消息还有一个更严重的安全问题:移动应用程序的性质以及相互依存的组件引发各种安全问题,常常使大型公司措手不及。星巴克的应用程序以明文形式保存所有密码,窃贼可查到密码并使用。沃尔玛的移动应用程序也保存了密码和各种定位历史记录。美国最大连锁药店沃尔格林鼓励购物者给处方标签拍照,然后保存图片,让大家都可以看到,严重破坏了医疗隐私权。
这些大公司有一个共同点:没有人在外部安全研究人员告诉他们前已经认识到了移动应用程序存在安全漏洞,这些应用程序已经被广泛使用。医院集团也有同样的问题。即便应用程序的密码加密,必须利用信息技术确保密钥得到保护。
这样,把移动设备放错位置、移动设备丢失或被盗不仅需要立即进行远程擦除,而且还需要马上变更相关的密码。
而采取这些行动取决于医生,医生只有在发现设备丢失后才能开展行动。数小时的延误可能会造成灾难性的后果。一种可能性是医生随身携带(例如裤子口袋)超小型设备(可能附带射频识别标签),这种设备可能会跟踪移动设备,一旦超过一定距离就会发出数字警报。警报可能会以文本或电子邮件的形式发送给医生、助理人员或信息技术人员。
农村网络挑战
不在医院或安装无线网络的医生诊疗室的移动设备上保存数据是一个好方法。农村地区的无线网络状况参差不齐,人们对移动设备保存数据量的多少存在争议。
Robert Zimmerman是一家医疗监管合规公司QIP医疗信息技术的总经理。Zimmerman认为最容易和最好的方法是简化流程。如果医生为患者出诊,应该有时间选择此次出诊所需的文件并进行保存。在出诊后,应及时删除文件。
“对患者护理的真正价值是什么?技术人员告诉我们执行决定所需要使用的技术,”Zimmerman说,“信息技术人员需要了解真正的价值定位。”
Zimmerman表示,很多信息技术人员并不了解《健康保险流通与责任法案》的规定。
他建议,医生通常能接受出诊时不携带敏感文件并做大量笔记。几个小时之后,当医生回到诊疗室或至少能够上网时再比较笔记和病历。医生必须要承担安全风险,如何避免这一风险就很重要。
原文标题:Where will HIT security be in 3 years?
原文作者:Evan Schuman
验证码: | 点击图片可刷新验证码 |