Для электронных медицинских записей нужно замедлить, для безопасности

Среди многих новых положений Американский Закон о восстановлении и реинвестировании (ARRA) является федеральным финансированием электронных медицинских записей. Известный как HITECH, закон дает стимулы организациям здравоохранения оцифровать личную информацию о здоровье до 2020 года. Однако потеря в спешке - это детали.

«Я с нетерпением жду, чтобы медицинские записи стали электронными», - сказал Говард Шмидт, бывший «Белый дом кибербезопасности», «но у меня есть огромная озабоченность по поводу создания действительно эффективной инфраструктуры здравоохранения … и последующего ее обеспечения». Шмидт говорил с PCWorld на RSA 2009.

Закон, который также обновляет части HIPAA, дает секретарю здравоохранения и социальных служб до середины августа определение того, что составляет электронную медицинскую карту. По мнению Шмидта, первоначальные требования должны начинаться с надежной аутентификации и шифрования, и до сих пор Секретарь сделал именно это. Ссылаясь на существующие стандарты NIST и FIPS, руководство HHS включает данные о здравоохранении в состоянии покоя, данные в движении, а также надлежащее уничтожение защищенной информации о здоровье. К сожалению, некоторые практикующие врачи начали приобретать системы электронного здравоохранения до того, как будет известен полный набор стандартов.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Шмидт вспомнил, как люди ошибались в Microsoft, где он работал в конце 1990-х годов, для задержки Windows Vista много раз. «Мы критиковали бы [Microsoft], если бы они отправили [Vista], и у нее было больше проблем, чем сейчас. Поэтому мы должны помнить, что график имеет приятный характер», но он предупредил, что в любом расписании также должны быть встроенные ограничения и гарантии. В настоящее время это не так с HITECH, которая в течение первых нескольких лет присуждает основную часть своих финансовых стимулов.

В марте Шмидт и Fortian's Brian Chess обратились к Конгрессу с вопросом о необходимости безопасного жизненного цикла программного обеспечения. Их предложение предусматривало, среди прочего, создание позиции «Хранитель ворот», кто-то, кто может сказать, что расписание проекта будет проскальзывать, если продукт не отвечает этим требованиям конфиденциальности или безопасности.

HITECH включает в себя первый национальный закон о нарушении данных, в котором говорится, что все поставщики медицинских услуг, будь то кабинет врача или большая HMO, должны уведомить всех пострадавших о любом нарушении или подвергнуть риску крупные штрафы. Идея состоит в том, чтобы запретить поставщикам медицинских услуг просто собирать деньги стимула HITECH для «создания действительно здоровой системы здравоохранения, чтобы врач мог забрать свою ежевику и сказать« Да, Говард Шмидт. Вот его данные о пациентах ». соглашается с Шмидтом и предпочел бы, чтобы организации, занимающиеся лечением, получали электронное здоровье с самого начала, хотя они различаются по средствам для достижения этого.

Шмидт говорит, что у него есть личная заинтересованность в электронном здоровье. Он проводит около 300 дней в году и может находиться в Сингапуре, Сан-Франциско или где угодно, когда ему может понадобиться медицинское обслуживание. «Может быть, я где-то в самолете, я не хочу, чтобы они говорили« О, подожди. Где мы можем найти медицинскую запись этого парня? » Я хочу, чтобы они смогли подтянуть его по подлинно аутентифицированному методу, который имеет отношение к ситуации, в которой я нахожусь. Это может спасти мне жизнь ».

Роберт Вамоси - аналитик по рискам, мошенничеству и безопасности для Javelin Strategy & Исследования и независимый автор компьютерной безопасности, охватывающий криминальных хакеров и вредоносных угроз.