![作为攻击患者的个人信息变得更加成熟,放射学和其他部门必须一起工作,政府和行业以更好地保护他们的病人](http://www.alohadebbie.com/sites/default/files/field/image/63505383_l.jpg)
医疗技术进步的驱动力近年来一直专注于使其更容易分享信息在护理团队的所有成员,包括病人,促进高质量的护理。允许更大的连接都有代价,然而,它使个人健康信息(φ)和其他个人资料更容易受到那些恶意。网络攻击医疗机构以及数据经常违反标题作为各种个人和实体寻求利用这些信息为自己的个人利益。到目前为止,所有专业提供商,包括放射学,有麻烦保卫自己免受这些入侵,他们必须提高如果他们希望保持他们的病人的信任。
数据漏洞在放射学
由于专业的性质-医学成像数据只直接向外放射学有其独特的网络安全漏洞的时候。Ambra健康进行了调查1100医疗消费者的年龄和性别来决定他们如何参与他们的卫生保健提供者和使用技术访问医疗信息和成像。当被问及具体他们的医学图像是如何移动,57%的人说CDs被使用,到目前为止最大的百分比。在线访问/图像共享是第五最常用方法,只有17%的受访者使用;31%的人说他们根本没有在线访问他们的医疗记录。1
尽管这些统计数据,现在许多机构都采用了电子健康记录(EHRs)更容易共享患者信息提供者。虽然这可以显著提高工作流提供者和卫生保健设施之间,这也意味着“有扩散的数据不断被转移,“Drex Deford说,一个独立的医疗顾问,2017年年会医学影像管理协会(AHRA)在7月。
此外,许多这些记录现在可以在移动设备上,所以供应商甚至没有在医院检查病人或他们的办公室。一些医院提供移动设备提供商特征加密和其他先进的安全措施,但一些医院,Deford说,有一个“自备设备”(BYOD)政策,所以医生访问敏感的个人医疗信息,消费级,无担保的智能手机和平板电脑。
根据Deford ransomware——软件锁定计算机和/或信息,除非用户支付赎金,是1号战术受雇于医疗黑客。然而,威胁可以有无数的形式。放射科医生理查德•凯斯勒医学博士因偷窃,12月3日被逮捕,2014年,近97000名现任和前任患者的φNRAD医学协会在长岛,纽约州凯斯勒说他偷了记录,因为他要开始竞争放射学实践。他所能做的来窃取数据连接的外部硬盘下载信息。2违约也可能发生从无辜的员工发挥创造性和发现过程的解决方案或协议他们认为阻碍着他们的效率。
有如此多的风险,许多医疗机构根本不具备处理网络安全一个适当的水平。在r一系列的彭博社调查290医疗律师的法律,近4 10表示,他们并不认为他们的组织的事件响应计划被足够详细或已被充分测试,以确保病人数据的安全。3
行业和政府的反应
而医疗组织仍在学习保护自己免受网络攻击越来越复杂和聪明,他们不是单独负责自己的保护。政府和供应商关键伙伴对抗行业,全球网络攻击问题。
政府
今年8月,美国卫生与公众服务部(HHS)民权办公室发布了一个更新版本的HIPAA违反报表工具(HBRT),检索库信息最近的健康信息违反(在过去24个月)和正在采取什么行动来解决它们。HBRT最初是在2009年发布;更新版本的新特性包括:
•增强功能,突出了违反目前正在调查和报道在过去24个月;
•新档案,包括所有年长的违反和破坏是如何解决信息;
•改善导航附加违反信息;和
•建议消费者。
“HBRT提供医疗组织和消费者能够更容易地检查漏洞报告OCR,”说罗杰·塞韦里诺民权办公室主任(OCR)在一份声明中说。“此外,获得更多及时的信息加强了消费者信任和透明度。”
根据官方HIPAA违反通知规则,提供者(又名“覆盖实体”)和“商业伙伴”只需要提供通知所涉及的数据泄露,如果违反“无担保”φ-没有呈现的信息不可用,不可读或无法解释的未经授权的人通过使用指定的技术或方法(即美国卫生和公众服务部部长的指导。、加密和/或毁灭)。通知必须被发送给个体患者,通过一流的邮件或电子邮件,不晚于后60天的发现突破口。如果违约影响超过500居民在受影响的州/管辖范围内,媒体需要注意。美国卫生和公众服务部部长必须通知在发生违约的任何信息。
行业
制造商也尽了自己的一份力来帮助放射学客户保护自己免受网络攻击。“医学影像制造商和医院的技术基础设施和IT部门分担责任机制提供符合一流网络安全规定和风险评估工具,”亨利说“里克”首先,战略关系和数字卫生服务主任西门子Healthineers AHRA 2017。
一个制造商的参与方式是通过网络安全工作医疗设备创新、安全联盟(mdis),一个非营利组织。mdis的使命——组成的医疗设备供应商,医疗保健交付组织、大学和其他行业利益相关者——是“开发实用技术、实践和政策解决方案使设备更安全。“8月,该集团宣布启动一个新的网络医疗设备安全测试实验室叫WHISTL(世界卫生信息安全测试实验室)。这些设施,独立拥有和经营的mdis成员,将每个进行研究和开发他们自己的标准操作程序。这是第一次这种类型的“试验场”设计在医疗设备人员的需要,医疗保健It专业人员和医院临床工程的领导人。研究人员将能够通过更严格的和现实的测试运行设备,允许更快地表面隐藏漏洞。
为设备制造商开发最佳实践应该优先,第一,以确保一致的,高质量的保护设备。例子包括让用户界面简单所以员工并不试图创建工作区,所有设备用户(即和多因素身份验证。,要求的多个证据来验证用户的身份)。
在处理供应商时,首先告诉他AHRA观众,供应商应该预先测试的安全设备在安装之前,可能还想让白名单的协议;这将创建一个实体批准访问设备的列表。供应商和用户还希望确保通信协议是受保护的,“这是至关重要的,当传输受保护的健康信息,“初说。
美国国家电气制造商协会(NEMA)提供与网络安全相关的一些指导性文件,包括PS3.15 DICOM标准,它提供了安全与系统管理配置文件,具体指导和制造商公开声明对医疗设备安全(MDS2),制造商可以使用一种形式作为一种工具在执行客户的风险评估。
放射学和它结婚
虽然技术组件是任何网络安全战略的重要组成部分,最重要的部分任何计划毫无疑问是人类根据Deford。没有足够的知识和训练其次是成功执行,最佳实践、技术和协议将提供小防范恶意的单位和个人。
Deford看到绝大多数医疗组织的最大的错误是透明度和部门之间的帮助。从本质上讲,这使得整个负责网络安全的IT部门。而重要的是要呼吁他们的技术专长,他们不会有一个固有的放射学临床工作流程的理解要求(或任何其他医院的部门)。从另一个角度来看,使用它将帮助放射学更好的选择和实现技术和实践,帮助保证整个组织的安全,根据Deford。
同样重要的是涉及部门或医院高管、董事会成员和其他高级个人建立最有效的安全计划。“一个好的安全计划推动到位和监控的组织——他们是领导者可以改变组织的文化和态度网络安全的重要性,“Deford说。
“这些天我们是否喜欢它,一切都是连接到一切,所以风险接受一个人(部门)是一个风险强加给其他人连接到网络,”他补充道。“通过了解放射学的临床需求,企业IT部门和CISOs[首席信息安全官]可以构建更好的安全程序,以保护整个组织。”
网络安全相关的内容:
引用
1。时代的变化:今天的医疗消费。Ambra健康。https://ambrahealth.com/ebook/era-change-todays-healthcare-consumer/。2017年10月12日访问。
2。”放射科医生在违约情况下逮捕,“今天数据泄露,12月8日,2014年。www.databreachtoday.com。2017年10月12日访问。
3所示。医疗保健网络安全调查。美国律师协会健康。www.healthplanalliance.org/Document.asp?DocID=3188。2017年10月12日访问。