医疗保健行业何时会重视IT安全?

2014-03-17 |  作者:佚名 |  来源:网络世界 |  查看原文

摘要HITECH法案推出以来,见诸报端的医疗数据泄露事故的数量一路上涨,一部分原因在于,医疗机构被要求披露数据泄露事故(而在过去,这些事故通常不会被媒体报道),还有部分原因在于,医疗IT安全仍然是一个挑战。根据Expe...

HITECH法案推出以来,见诸报端的医疗数据泄露事故的数量一路上涨,一部分原因在于,医疗机构被要求披露数据泄露事故(而在过去,这些事故通常不会被媒体报道),还有部分原因在于,医疗IT安全仍然是一个挑战。根据Experian最新研究显示:2014年可能是医疗数据泄露事故最多的一年,因为Healthcare.gov的易受攻击性。

如今,黑客攻击和数据偷窃等行为已经得到了医疗机构的充分重视,但大多数数据泄露根本原因是因为粗心大意,如丢失或被盗的硬件未加密、受保护的医疗信息通过电子邮件或其他方式暴露在互联网上、纸质医疗记录遗落在地铁等。

那么,医疗保健行业何时才会重视数据的安全?

医疗保健行业IT安全存在隐患

这项隐患的部分原因在于医疗信息安全没有得到充分重视,在大多数医疗机构,安全项目并不成熟,这要归结于资金和专业人才的短缺。其实,大多数被媒体报道的数据泄露事故都是可避免的事件。

最新SANS医疗保健网络威胁报告也体现了这一点。根据SANS协会表示,在2012年9月到2013年10月间,威胁情报供应商Norse通过其全球网络和传感器,发现了近5万独特的恶意攻击。该协会分析了Norse的数据并在2014年2月19日发布了报告。绝大多数受影响的机构是医疗服务提供商(大约占72%),其次是医疗保健业务伙伴(大约占10%)和付款者(大约占6%)。

高级SANS分析师兼医疗专家Barbara Filkins表示:“在这些有针对性的样品检测到的IP数量可以推断,全球有数以百万受感染医疗保健机构、应用程序、设备和系统正在发送恶意数据包。”

超过一半的恶意流量来自于网络边缘设备,例如VPN(高达33%)、防火墙(16%)以及路由器(7%),这表明安全设备和应用程序本身受到了感染,或者说,这些保护系统没有检测到来自受保护边界内网络端点的恶意流量。Filkins指出,很多漏洞在几个月内未被发现。连接端点(例如放射成像软件和数字视频系统)也占了17%的恶意流量。

Norse高管称,这是因为合规与监管之间的脱节。简单地说,Norse首席执行官Sam Glines表示,“并没有部署最佳做法。”例如,很多具有面向公众接口的防火墙仍然使用出厂时的用户名和密码。很多监控摄像头和联网设备(例如打印机)都是如此,攻击者只需要简单的互联网搜索就能够获得默认密码。

美国能够很好地遵守欧盟的数据泄露法律,因为他们采取了“截然不同”的做法,其中明确了管理连接到IP地址的设备的政策,以及基本密码和访问控制管理措施。

移动医疗安全重中之重

如果没有相关的法规,患者隐私几乎没有任何保障。数据在医院环境中自由共享,并且,临床系统更注重功能,而不是隐私性,隐私性和安全性通常是开发生命周期的事后想法。在不断增长的移动医疗市场尤其是如此,该市场完全将创新摆在了安全前面。

Harold Smith在2013年12月发现了这一点。在移动医疗应用认证组Happtique发布其首批获批应用程序后,软件公司Monkton Health的首席执行官Smith决定看看这些应用程序。

他在越狱的iPhone手机中安装了一个应用程序,并在不到一分钟的时间里,从纯文本未加密的HTML5文件中获取了受保护的电子医疗信息(ePHI)。他还发现,这些数据被通过HTTP发送,而不是HTTPS,这就是其中的问题之一。

几天后,Smith测试了第二个应用程序,该程序同样将ePHI存储在未加密纯文本文件中。虽然该程序使用了HTTPS,但用户名和密码是以纯文本发送。

鉴于Smith的调查结果,Happtique暂停了其应用程序认证计划,但应用程序开发者自己(以及医疗保健IT新闻网站和博客)掩盖了这个问题,这种行为激怒了Smith。

Smith表示,最起码,移动医疗应用程序需要数据加密。更大的问题是,开发人员像对待桌面应用程序一样对待移动应用程序,这种做法并不可行,在发布苹果SDK的五年后,人们仍然在试图解决这个问题。

医疗IT安全应该责怪“繁文缛节”吗?

对于医疗保健业的隐私和安全法规同样是这样,说的客气一点很多法规是相互矛盾的。法律事务所Pepper Hamilton隐私、安全和数据保护做法主管Sharon Klein指出,在美国,有47套不同的数据泄露法规以及多个监管标准。

如果说有一个主要标准,那应该是国家标准与技术研究所的标准,Klein指出,民权办公室和卫生及人类服务部与NIST标准有着相同的规定。与此同时,还涉及其他机构:

· 美国联邦贸易委员会强调,在收集、传输、使用、保持和销毁数据时,应考虑隐私性。

· 美国食品和药物管理局对医疗设备和医院网络的网络安全指导中强调了数据机密性、完整性和可用性。

· 面对糟糕的802.11无线安全,美国联邦通信委员会发布了关于短信和地理位置与临床通信的免责声明。

基于法规的不一致性,Klein表示,最好记录你正在做的一切,并对所有员工开展培训和宣传工作。有些政策可以消除不必要的安全问题,这种政策能够限制数据的查看权限,以及随着员工职责的演变而发生变化。

软件开发人员有更多的优先级工作。如果事物受到监管(+关注网络世界),隔离它,并确保你告知用户你获取了什么数据、你的目的是什么、哪些第三方能访问这些数据以及出现问题时应该联系谁。

平衡安全性和可访问性

专家一致同意,医疗数据安全必须平衡安全性和可访问性,无论是对于患者、医生还是想要访问数据的第三方。随着医疗保健业将更广泛的医疗信息交换作为提供更协调护理目标的一部分,这一点尤其重要。

“长期以来,安全性一直是事后才采取措施,现在它应该作为构建的一部分,”Glines说道,如果它没有被事先考虑,根本不应该发布应用程序。

Smith认为,开发人员和安全专业人员破解iOS应用程序,发现这件事情非常容易实现。然后,他们应该问:“如果没有那么困难,我存储所有数据在手机上,除了操作系统提供的,我还能做些什么?”

事实证明,应用程序开发人员可以做很多事情,即使是在不断变化的领域。具体来说,Smith指出了Forensics的安全移动开发最佳做法(适用于iOS和Android)。

鉴于Norse和SANS研究所的研究结果,Glines表示,有必要进行两个对话。一个是与网络管理员谈论“基本拦截和阻止”工作,例如实际变更默认设备密码,这能够带来显著变化。另一个是与高管人员谈论安全不足的影响。

当数据泄露事故发生时,监管机构不会给你任何情面,特别是如果你知道漏洞存在而不去解决这些问题。在新的HIPAA Omnibus法规(2013年9月生效)中,在“故意忽视”安全问题而导致的数据泄露事故中,企业面临高达150万美元的罚款。

Glines表示,董事会将会开始转变其对安全的态度,但这仍然需要时间来让他们完全明白安全的重要性。他表示:“在未来8到12个月,我们将继续看到更多数据泄露事故占据头版新闻。”

相关文章