最近的威胁情报研究在医疗机构,其中许多人注意到了几个月的报告广泛的安全漏洞。在12月,开发者可以从“认证的”移动健康应用程序,在不到一分钟拉未加密的数据。为什么就这么难医疗得到保障吗?
在《高科技法案》颁布后的几年里,报告的医疗数据泄露数量一直在上升,部分原因是组织被要求披露过去不被报告的违规行为,部分原因是医疗保健IT安全仍然是一个挑战。
益百利最近的研究表明2014年可能是迄今为止最糟糕的一年为医疗保健数据破坏,部分原因是由于组装不良Healthcare.gov的脆弱性。
“在这个样本中检测到的IP数量可以推断为,有数百万受到危害的医疗机构、应用程序、设备和系统从全球发送恶意数据包。”
黑客攻击和其他盗窃行为引起了人们的注意,但大多数医疗数据泄露的根本原因是粗心大意:丢失或被盗的硬件(没有人费事加密)、通过电子邮件或其他方式在互联网上暴露的受保护的医疗信息、遗留在地铁上的纸质记录等等。
医疗保健部门需要采取什么措施来认真对待数据安全问题?
医疗保健IT如此不安它的“报警”
部分问题在于医疗保健信息安全没有得到尊重;在大多数医疗机构,由于缺乏资金和专业知识,安全项目充其量是不成熟的。因此,大多数报告的数据泄露实际上都是可以避免的事件。
[相关:医疗IT安全是困难的,但并非不可能]
最近的SANS保健网络威胁报告很好地强调了这一点。根据SANS研究所(SANS Institute)的数据,威胁情报供应商Norse通过其全球网络或蜜罐和传感器,在2012年9月至2013年10月期间发现了近5万起独特的恶意事件,并于2月19日发布了报告。绝大多数受影响的机构是医疗保健提供者(72%),其次是医疗保健业务协会(10%)和付款人(6%)。
SANS在分析中经常使用“令人震惊”和“令人不安”两个词SANS高级分析师和医疗保健专家芭芭拉·菲尔金斯写道:“从这个目标样本中检测到的IP数量可以推断,事实上,有数百万受到危害的医疗机构、应用程序、设备和系统从全球发送恶意数据包。”。
【提示:如何防止(和响应)医疗保健数据泄露]
超过一半的恶意流量来自网络的边缘设备如VPN(高达33%),防火墙(16%)和路由器(7%),这表明“,安全设备和应用程序本身或者被损害...或者说这些“保护”系统没有检测到的恶意流量来自网络端点来保护周边内,”菲尔金斯写道,注意到许多漏洞置若罔闻几个月。连接的端点,例如放射影像软件和数字视频系统也占恶意流量的17%。
挪威人的高管们表示,这源于合规与监管之间的脱节。Norse首席执行官Sam Glines说,简单地说,“没有最佳的做法。”例如,许多具有面向公众接口的防火墙设备仍然使用工厂用户名和密码。许多监控摄像头和打印机等联网设备也是如此——它们的默认密码不是通过黑客攻击,而是通过简单的互联网搜索就能获得。“在今天的市场上,这还不够好。”
美国最好雷竞技比分注意欧盟数据泄露法,Glines说,他们采取“断然不同”的方针,包括关于是什么,是不符合特定语言。这可能包括,例如,用于管理连接到IP地址或基本的密码和访问控制管理措施的任何具体的政策,他说。
移动健康安全特别是犯罪嫌疑人
然而,在缺乏此类监管的情况下,病人的隐私是一个神话。对于新手来说,数据在医院环境中是自由共享的,而临床系统更重视功能而不是隐私,因此隐私和安全常常是开发生命周期中需要考虑的问题。尤其是在不断增长的移动医疗市场,这在很大程度上保障前将创新。
[相关:Healthcare.gov仍具有重大的安全问题,专家说]
哈罗德·史密斯在12月份发现这一切太快了。之后快乐史密斯是软件公司的首席执行官Monkton健康,决定查看几个应用程序。
这不是漂亮。他在越狱的iPhone上安装了一个少于一分钟,从纯文本、未加密的HTML5文件中提取电子保护健康信息(ePHI)。他还发现,这些数据——特别是血糖水平——是通过HTTP发送的,而不是HTTPS。他说:“这是出现问题的第一个迹象。”“这是‘安全101’中非常重要的一点。”
史密斯几天后测试的第二个应用程序也以未加密的纯文本文件的形式存储了ePHI。尽管这个应用程序使用HTTPS, Smith在他的报告中提到博客它以纯文本形式发送用户名和密码。“这是另一个大问题,”他说。
[幻灯片放映:防止医疗保健数据泄露的12个技巧]
Happtique暂停其应用认证计划根据Smith的发现,但是应用程序开发人员自己(以及医疗保健IT新闻网站和博客)掩盖了这个问题。这让史密斯很恼火:“作为一个开发移动健康软件的人,如果有人告诉我他们发现了一个漏洞,我就会立刻通知他们。”
史密斯说,至少移动健康应用程序需要一个pin屏幕和数据加密。不过,更大的问题是,开发者将移动应用程序视为桌面应用程序的趋势。史密斯说,这在移动开发的“全新的狂野西部”是行不通的,那里的数据库不加密,密码需要散列。他补充说,在苹果SDK发布五年后,人们仍在努力寻找答案。
繁文缛节是糟糕的医疗IT安全的罪魁祸首吗?
医疗保健的隐私和安全规定也是如此——委婉地说,这两者是相互矛盾的。莎朗克莱恩他是该律师事务所隐私、安全和数据保护业务的负责人胡椒汉密尔顿,指出,在美国,有47套不同的(不一致的)雷竞技比分数据泄露法规和多个监管框架。
克莱恩说,如果有总体标准,它们来自国家标准和技术研究所,并指出民权办公室和卫生与人类服务部“一贯”使用NIST的标准。与此同时,其他机构都在积极参与:
- 联邦贸易委员会强调隐私设计收集、传输、使用、保留和销毁数据;
- 食品和药物管理局医疗设备和医院网络的网络安全指南准确指出数据的机密性,完整性和可用性,和
- 美国联邦通信委员会,在微弱的802.11无线安全性之后,已发布了关于短信和地理位置,为临床通信的影响免责声明。
[相关阅读:解决医疗保健的大数据分析安全难题]
考虑到监管的不一致性,克莱恩说,最好记录下你所做的一切,并对所有员工进行强有力的培训和提高认识计划。”“最低限度的必要”政策限制了谁可以查看哪些数据,关键的是,这些政策会随着个人员工角色的演变而发生变化,可以消除不必要的安全漏洞,适当的数据去标识也可以消除。
软件开发人员有额外的优先级。如果有任何规定,孤立它,克莱因说,并确保您透露给消费者你获得什么样的数据,你打算用它做什么,第三方将有机会获得它和谁联系,如果有一个问题。初创公司希望成为第一个进入市场,她也承认,但在这个过程 - 史密斯发现 - 他们可以把脑后的安全,才争相填补国内空白,一旦漏洞被发现。
均衡医疗IT安全性和可访问性
专家们基本同意切实方法对健康数据的安全性必须在安全性和可访问性之间取得平衡,无论是患者、医生还是第三方都需要这些数据。这一点尤其重要,因为医疗保健行业强调更广泛的卫生信息交流是提供更协调的护理这一更大目标的一部分。
“安全问题在很长一段时间里都是事后考虑的问题。现在它必须成为构建的一部分,”Glines说,并补充说,如果不是这样,一个应用程序就不应该发布。
史密斯认为,开发人员和安全专家破解iOS应用,像他那样,看看自己是多么容易。然后,他说,他们应该问,“如果它不是那么困难,[我]存储所有的手机上的数据,我该怎么办超出OS提供什么?”
事实证明,有一个应用程序开发人员可以做“的事情全一连串”,即使是在一个不断变化的领域。具体而言,史密斯指向viaForensics'安全移动开发最佳实践,适用于iOS和Android。
考虑到挪威人和SANS协会的研究结果,Glines认为进行两次对话是值得的。一种是与网络管理员讨论“基本的拦截和处理”工作,比如实际改变设备的默认密码,这可以带来“简单而强大的改变”。另一个是与管理人员讨论松懈的安全意味着什么——不幸的是,在那次事件之后,谈话变得容易多了违反目标结果证明,这是由系统故障造成的,而不是单一的攻击点。
克莱恩说,如果出现漏洞,监管者不会对你松懈,尤其是如果你知道漏洞存在,却没有修复它们。根据2013年9月生效的新的HIPAA综合规则,公司将面临高达150万美元的罚款在事件中“故意忽视”安全问题。
Glines说,董事会已经开始转变他们的安全观念,但这需要时间才能逐渐显现出来。”他说,接下来的12个月,我们会看到更多的新闻。
布莱恩·伊斯特伍德是首席信息官. 他主要负责医疗IT。你可以在Twitter上找到他@布莱恩·尤伊斯特伍德或通过电子邮件。按照一切从CIO.com的Twitter@CIOonline,脸谱网,谷歌+和LinkedIn。
阅读更多关于医疗保健的内容在CIO的医疗追溯。
这个故事,“医疗保健会认真对待IT安全吗?”最初由出版首席信息官 。