【HC3i独家翻译】在医院转换他们的安全工作重点时,医疗数据的安全工作正在转型。现如今,相比于窥探电子医疗和财务记录的内部人员来说,外部的黑客并不是一个大问题。医院与那些可能没有足够安全保障的小诊所间进行更多的数据交换,而移动设备将网络远远的延伸到了机构的围墙之外。另外,联邦隐私和安全标准越来越严格,同样的对于违反这些规则的处罚也是。
位于伯明翰的阿拉巴马大学(UAB)卫生系统信息安全员Terrell Herzig周二在亚特兰大的医疗信息咨询会上表示,“最大的威胁是来自内部的。”我们知道员工会在未经授权的情况下偷窥贵宾的记录,这包括当地名人或著名人士。而在有50多万美国人没有保险的情况下,这里有一个兴旺的黑市进行盗取和伪造健康保险计划的认证号码。
纽约的五所医院联营系统Continuum Health Partners的首席信息官Mark Moroses 表示,对于员工和医务人员“我们强调意识和教育,我们尽量不要在没有严重违纪时下重手。教育循环才是我们关注的焦点。”
不过,在当地报纸利用内幕人士指出如何访问病人的记录而曝光了Continuum的一所医院的安全漏洞后, Moroses协助当局逮捕并起诉了窃取病人资料的员工,事实证明,该员工曾在其他医院窃取过病人的身份,但未被抓。Moroses说,“我们的证据收集工作做得更好。”
亚特兰大的莫尔豪斯医学院(MSM)首席信息官Cigdem Delano 说,“你不能把所有的东西都锁起来,不管你怎么做,总会有人为因素在里面。”同时,安全与合规部人员正试图达到一个微妙的平衡, 在保护数据的同时使IT系统不至于太难以使用而让用户特别是那些善变的医生想造反。
Delano 说,“你也会遇到过度的安全。”在MSM法律部门至少有一个人希望临床IT服务器机房有国防部级别的安全措施。但医学院校没有参与任何跟国家安全有关的研究,如生物恐怖主义研究之类的。另一方面,, UAB与美国国立卫生研究院间有一些涉及潜在敏感数据的合同,但不想因为迫使用户每次离开计算机几秒钟就要输入复杂的密码而让用户抓狂。Herzig和他的团队选择了以智能卡形式认证的双重认证精简用户端。如果用户未注销而取出卡,他们的会话将被冻结。他们可以在其他工作站重新插入卡片,简单地重新输入个人识别号码恢复工作。
Moroses说,Continuum基本上把它的移动电脑全部换成了不做任何计算处理的终端机,而到明年将只给大多数终端用户提供精简用户端。这就是DICOM Grid的CEO Mike Wall所谓的“零足迹“,从安全角度来看在本地计算机上没有存储的任何数据。DICOM Grid,是一家位于菲尼克斯的云存储和数字化医疗影像归档供应商。Herzig 表示“这个零足迹是很棒的。” 特别是在移动时代。 “我们决定,我们应该来管理数据,而不是设备。”
然而,有时候是不可能在内部保持所有的数据的,尤其是越来越多的病人要求医疗记录和图像的电子副本。这就是加密技术的用武之地。Herzig提到在医院的停车场的车位找到一片CD清楚的标明了病人的名字,光盘上的影像档案是未加密的。这显然是经常发生的。Wall表示,“我去的每一个机构都有CD的问题。”他的公司显然也有兴趣将影像档案转存到云存储上。
据Moroses表示,仅在过去两年间,很多主要信息安全厂商已经能够为医疗机构提供端到端的加密产品和服务。在此之前是相当零星的。Herzig补充道,“我们审查了我亲切地称之为歇斯底里的加密术,它是贯穿于始终的。”