没有人比你更了解你。但由于技术的进步以及医疗数据积累和共享过程的持续数字化,我们也可以诚实地对您的医疗服务提供商说同样的话。

事实上,每次我们与卫生专业人员接触时,数据都会被记录下来(无论是纸质的还是电子的),输入电脑,然后存储在一个庞大的数据库中,用于记录、分析和检索。

这个电子健康记录(EHR)的数字仓库,包含病史、诊断和药物(包括账单数据、保险和其他个人身份信息),是网络罪犯想要的。对于从事研究业务的医疗机构来说,知识产权是他们面临风险的主要资产。这样的宝藏若落入坏人之手,毫无意义。

令人毛骨悚然的恐惧

令人沮丧的是,尽管医疗保健在医学突破和治疗方面表现突出,但却缺乏网络安全防范和隐私保护措施。来自独立组织的研究一致表明,持续使用遗留系统(那些运行Windows xp的过时程序和电脑)、网络安全资源稀缺以及IT专业人员明显短缺是医疗保健行业面临的首要问题。而这只是冰山一角。

技术进步使得审查、共享和存储数字信息成为可能,同时也带来了其他需要解决的重大挑战。它们包括:

  • 患者记录的易访问性
  • 临床系统的自动化(例如为病人订购处方药)
  • 将外部媒体或第三方设备引入医院网络
  • 移动健康应用的出现
  • BYOD越来越多的采用
  • 医院和诊所工作人员普遍缺乏对患者健康数据风险的认识

下面,我们来看看这些挑战中的每一个都存在的网络安全风险。

方便查阅病历

面向公众的医疗机构,如医院和诊所,已经接受了从纸质记录到数字记录的转变。在这样做的过程中,他们收集患者数据并将其存储到数据库中,任何人都可以访问这些数据,无论是离大楼20英里的医生还是前台的护士。

患者健康记录的数字化还使跨多个医疗机构共享信息的过程更加容易。病人也可以查看他们的健康记录。正因为如此,暴露于威胁的可能性增加了。

所有这些存储、检索和共享都为恶意行为者打开了大门,他们可以轻而易举地渗入数据库,窃取信息并在黑市上出售。患者数据有多有价值?非常有价值的.例如,属于10名患者的医疗保险ID号将以22个比特币的价格出售,截至撰写本文时,总价值超过20万美元。电子病历的成本很高,因为这类数据罪犯可以使用和重复使用几十年。与信用卡数据不同,医疗记录一旦被用于欺诈,就不能更改或取消。

读:智囊团总结了医疗记录被破坏后的情况

医院和诊所系统的自动化

从医疗保健专业人员的工作日中删除冗余和乏味的任务是一个明智的商业举措。它提高了工作效率,节省了资金,改善了病人的体验。然而,尽管自动化给该行业带来了很多好处,但其系统的实施可能在没有考虑到网络安全或隐私的情况下进行。

例如,那些迅速开始部署自动化服务的人,如重新开处方或预约,可能在同一网络中有医疗设备和面向网络的计算机,而它们本应分开。当医疗设备在互联网上联网且不安全时,这就为威胁行为者打开了利用的大门。

外部媒体或第三方设备

尽管使用未加密的外部媒体和便携式设备违反了HIPPA(1996年健康保险便携性和责任法案)标准,但工作人员和第三方承包商继续将此类设备引入连接到医院网络的计算机系统。也有这样的例子:患者通过外部媒体带来了他们的医疗记录供医生检查。

这可能导致两种结果:便携式媒体和设备可能被偷或放错地方,导致安全漏洞,和/或恶意软件可能被引入网络。理想情况下,应该不惜一切代价避免两端。

移动健康应用程序

我们谈论的是移动健康,或mHealth,即患者和医疗专业人士使用的应用程序。这些应用程序从使用它们的人那里收集数据,如果医生可以访问这些数据,他们可以很容易地提供反馈或建议。不幸的是,不存在“一个应用程序可以统治所有应用程序”这样的东西。有不管你信不信,市场上有很多这样的人。而且每一个都要保护好,否则所有的数据都有泄露的风险。

带上您自己的设备(BYOD)

2012年,阿鲁巴网络公布了他们的调查结果,显示85%的医护人员和专业人员支持在工作中使用个人移动设备,如智能手机、笔记本电脑和平板电脑。有人说,这一趋势自然适合这个行业,因为医生和护士经常在流动。

能够在飞行中访问记录并与同事共享,可以提高医疗保健人员之间的协作和生产率。然而,医院工作人员和专业人员拥有的移动设备容易被盗。如果它们没有加密,小偷很容易就能取回、利用或出售存储在其中的电子病历。

一些医院和诊所还允许病人和访客接入医院的互联网。这导致患者和工作人员的BYOD设备无法承受带宽。最重要的是,没有人真的确定这些设备是否足够安全,如果有的话。如果一个潜在的受感染设备被引入到网络中,恶意软件可能会驻留在服务器或传播到连接到网络的其他设备上。

读:BYOD,你为什么不呢?

缺乏网络安全意识

最后,医疗保健人员通常不知道对患者数据的威胁,对识别攻击类型准备不足。这可能就是为什么他们在处理电子邮件、移动设备和医院记录时显得疏忽大意的原因。正如我们之前已经确定的那样,网络安全问题不仅仅是IT员工应该努力解决的问题。在保护患者数据和保护医院资源免受外部威胁方面,包括护士和医生在内的每个人都有责任维护。

可悲的是,我们看不到灵丹妙药

不幸的是,没有什么灵丹妙药能够解决这种复杂环境所带来的无数挑战。事实上,解决围绕着如此重要的事情的问题和风险不应该过于匆忙。毕竟,人们的生命也危在旦夕。虽然可能需要彻底改革来扭转医疗保健行业的局面,但这仍然需要相当多的时间来实现。即使已经完成了,持续的改进自然也会随之而来。

好消息是,无论规模大小,医疗机构无需等待重大改革,就可以解决当前困扰其行业的困境。在这篇文章的第2部分,我们将讨论医疗机构可以采取的措施,以保持安全——从意识和教育活动开始。

在那之前,保持健康和安全!