【HC3i独家翻译】医疗机构正不断升级和更新冗余技术,但现在的问题是如何确保这些医疗IT系统和其数据的安全?更重要的是,某些企业甚至不知道都存贮了哪些数据。相关的数据提供商都应该能够回答上述问题,但是实际情况并非如此,一位专家说,这给使用这些数据服务的个人带来了风险。
Jim Kegley是位于亚特兰大的美国Micro公司创始人和公司总裁。该公司自1995年以来一直与不断淘汰陈旧IT设备的世界500强公司展开合作。他们的设备在销毁数据后仍可以原价的9折出售 。Kegley说该公司在拉斯维加斯的制造工厂可以改造这些大企业的淘汰设备,从而获得剩余的10%的利润。
Kegley与医疗IT新闻网共同列举了医疗IT系统的五大相关风险:
Jim Kegley
存储介质离开公司后,数据并没有销毁
Kegley指的是马萨诸塞州医院去年报失备份磁带丢失,而磁带的数据尚未销毁。 “这是我们目前看到的最危险的行为”,他说。他的公司认为应该销毁现场的所有数据,以防止这种情况发生。另外一个例子是哥伦比亚广播公司关于购买二手复印机的故事。哥伦比亚广播公司购买的机器非常便宜,他们发现其中一台机器购自纽约的一家保险公司,而复印机记录了300页个人医疗记录。
Kegley称,复印机买家大部分来自海外。 “在我看来购买该设备的人都是意在寻找对他们有价值的数据,如社会保险号码,”他说。可能多年以后才会暴露他们的蛛丝马迹,而且很难追踪,他补充道。
对如何处理报废设备资产缺乏认识和教育
“由于移动设备的大量布署,老的设备资产正在退役,”Kegley认为。“随着老化设备的不断增加,二手IT设备市场越来越火爆。”但是数据销毁是一个巨大的问题。Kegley列举了新泽西州最近发生的事情:新泽西拍卖出售个人电脑,接近80%的设备仍然保存着数据,甚至包括儿童福利记录。“国家认为实施数据安全保障的费用超出了设备的价值,”他说。 “这是一个非常普遍的心态。”而不幸该论点正在合法化,Kegley说。 “他们对于泄露的信息没有记录,因此没有人知道问题究竟有多么严重。”
缺乏内部控制和审计跟踪
“大多数组织都无法明确列出所有数据存贮设备及他们都贮存了哪些数据,”Kegley说。而他的公司可提供设备审计报告,组织检查设备,以及检查员工是否遵守该公司的数据安全策略。例如,有一个针对所有笔记本电脑的审计能够揭示出其中的加密方式,哪些人的电脑没有加密,另一个很普遍的问题是,电脑可能已经被加密,但该公司在电脑上记录了设备密码,“在这种情况下,密码被破解的可能性很高,”Kegley说。或是一些公司认为,他们的笔记本电脑有密码保护意味着他们不需要对其进行加密。他举了个例子,最近的BP丢失了笔记本电脑,电脑数据没有加密,但有密码保护。“这个破解仅仅需要约五分钟就能获取密码,”他说。
大脑要确定一种思维定式,处理报废IT设备存储的数据只能通过一种方法
Kegley给出了田纳西州的BlueCross BlueShield 57例硬盘驱动器被盗案例。丢失硬盘驱动器的信息不久就被其从网站上删除和销毁。“问题在于,它是一个比车钥匙更容易丢失的设备,”他说。“一旦你分离设备驱动器,它便成为一个非常棘手的问题。”它的成本不过7美元,而其保险人保单价值则高达上万美元,而且很难确定数据位于哪些驱动器上。“您可能需要采用不同的技术,根据不同的设备,一个解决方案并不适合所有人。”
随着新兴技术的应用,越来越多的人包括IT专业人士正在步入一个误区,美国国防部(DoD)的数据删除标准并不能确保安全
Kegley举例,“某公司的BlackBerry设备可能已经被加密,然而不难发现微型SD卡的设备内部没有加密(ps:我们已经发现16千兆字节能力的加密微型SD卡面市)。”因此,如果这个设备丢失或被盗,个人信息将处于危险之中,即使你彻底销毁数据,仍可以通过软件回收microSD卡的数据。“因此我们推荐将介质物理破坏,因为目前没有其他更为可靠的方法销毁数据。有些人总是把数据泄密的责任推给设备制造商,”凯格利说。“如果一个组织本身不能做到数据保密,就应该聘请外部机构这样做,”他补充道。