一个事实是一致的在每一个部门需要技术或教育软件是脆弱的,这意味着任何设备运行软件应用也处于危险之中。在几乎任何每苟设备可以被攻击者,漏洞在医疗管理应用程序构成一个独特的和更危险的问题。
现在添加到漏洞的问题数据隐私,尤其是敏感的医疗信息,你有一个完美的风暴。
在最近的一份报告中,数据共享实践药物相关的应用程序和移动生态系统:交通、内容和网络分析发表的BMJ,研究人员分析了医学管理顶级Android应用程序,发现19的24测试应用程序共享用户数据以外的应用程序。
因为医疗记录是这样一个有利可图的数据集,攻击者通常针对医疗行业,寻找,最终找到最薄弱的环节在供应链。这就是为什么它是重要的利益相关者需要考虑弱点在健康和医疗应用的更广泛的影响。
据美国食品和药物管理局(FDA),医疗应用程序对病人健康和安全构成风险自1997年以来一直在监管。“虽然很多手机应用程序承担最小的风险,那些可以给患者带来更大的风险,需要FDA审查”。
医疗管理应用程序提供了方便的在家照顾,一些设备已经成为直接与病人护理交织在一起。有些应用程序可能只提供良性的图片处理服务,其他人可能包括对测试结果数据,约会,药物续杯,等等。这就是为什么FDA分类医疗应用的风险。
会出现什么问题呢?
安全问题不一定来自应用程序本身,而是来自第三方创建的应用程序接口与数据。“开发人员依赖于服务的基础设施相关的第三方安全地储存或处理用户数据,因此隐私风险较低。然而,共享基础设施相关的第三方代表额外的攻击表面在网络安全方面,”英国医学杂志报告称。
“此外,广告追踪和分析,使用额外的数据和处理时间,可以增加应用程序的对安全漏洞的攻击。”
坐在任何应用程序或数据库的数据可以妥协,但医疗管理应用程序的私有信息和不同类型的私有数据,以及任何医疗服务提供者已经与应用,根据渗透试验器,迈克·琼斯。
“从我经历了与医疗管理应用程序,通过屋顶的风险,因为应用程序不受相同的规定健康保险携带和责任法案》(HIPAA)。当你看的数据量任何类型的家庭健康或医疗服务提供,如果是通过应用程序管理,最大的担忧之一是数据泄漏。”
共享和销售数据可能是一个新的现实在今天的数字,研究世界,但更重要的是第一条数据的上下文,这样病人隐私不干扰。然而,共享和保护数据不需要互斥的概念,沃伦Poschman说,高级解决方案架构师comforte AG)。
“想知道药物我要带什么手续我已经可以交叉引用和见解?绝对的!想知道是我特别需要药物或有那些手续?绝对不是!监管机构需要确保公司数据匿名化,以便它可以安全地使用无论旅行。”
风险超出医疗数据
甚至比攻击者能够获得有关数据收集或存储在这些应用是现实,如果恶意演员篡改,患者可以得到错误的药物或药物可以转移到不同的地方,琼斯说。
在黑客医院为期两年的研究,评估在医院网络安全风险,独立安全评估(ISE)发现两个不同的web应用程序,通过它,一个对手可以远程部署攻击目标和妥协病人健康。我们证明了各种致命的远程攻击是可能的在这些设施,”该报告说。那是在2016年。
快进三年,执行合伙人和伊势Ted哈林顿仍然关心病人安全与医疗风险管理应用程序。
“至关重要的是,这些解决方案确保医学适量去正确的病人。”
患者安全时,冗余的医疗行业已经建立了实践,但这些做法在很大程度上受到了规则的影响。受到行业改变动机是为了兼容,但合规不安全的同义词,哈林顿说。
尽管许多医疗应用程序是由FDA监管、医疗管理软件不属于HIPAA法规,建立和实践来确保患者安全的供应商和员工通常不会扩展到软件。
仍有各种各样的直接和间接影响那些负责交付在乎医疗应用程序以任何方式泄露。
“医疗服务的交付在很大程度上依赖于技术,需要准确,”哈林顿说。“如果有实例证明这些解决方案是不准确的,可能削弱信心技术,这可以产生负面影响的速度专业人士可以提供护理。速度是仅次于准确性的关心。”
应用程序从这里哪里?
这是一个问题,没有单一的,明确的答案。创新的复杂性和速度创造了难以克服的障碍时医疗卫生安全的应用程序。
随着技术的进步,越来越多的开发人员依赖人工智能和机器学习的软件,“派生新的和重要的见解从生成的大量数据每天都在提供卫生保健。医疗设备制造商正在使用这些技术来创新自己的产品,以更好地帮助卫生保健提供者和改善病人护理,”根据食品及药物管理局。
这些技术也变化驱动的演化规则,琼斯说必须确保安全在整个开发生命周期。FDA是,事实上,“考虑总产品lifecycle-based监管框架对这些技术,允许修改是由真实的学习和适应,同时保证软件的安全性和有效性为医疗设备维护”。
大于善意
没有受害者的恐惧、不确定和怀疑,相信有现实医疗管理应用程序可以在生与死的区别。将重点从遵从安全、哈林顿说,“我们需要理解技术攻击者会理解它的方式。黑客怎么利用这个技术?所以,你开始构建模型的一种威胁。”
不是所有的黑客都是经济动机,这就是为什么同样重要的是进行安全评估,超越扫描仪。哈灵顿说:“这是无效的。”“你需要更深,攻击者会一样深。”
越来越多的安全专家提倡开发人员承担更多个人责任。我是骑兵,例如,最近出版的希波克拉底誓言的情况下连接医疗设备:观点在《医学互联网研究(JMIR)的作者问这些连接技术的制造商和用户是否应该由希波克拉底誓言的象征性的精神。
“持有开发人员负责的想法是正确的精神,“哈林顿说。毕竟,如果一座桥梁坍塌,一项调查发现,结构缺陷,承包商,检查,维护,甚至工程师设计的桥可以被指控玩忽职守。不应该相同的那些是正确的构建技术,桥梁医务人员和患者之间的差距?
评论