近8个月后,新规则的颁布需要的医疗保健信息更强大的保护,企业仍在泄漏的文件共享网络,数据,通过业务的达特茅斯学院塔克商学院的研究发现。
在一篇研究论文在一个IEEE安全研讨会上周二呈现,一个达特茅斯学院教授埃里克·约翰逊将介绍大学的研究人员是如何发现成千上万的包含流行对等网络(P2P)网络敏感的患者信息的文件。
一个由研究人员发现了3000多个文件是包含保险的详细信息,个人身份对超过28,000个人信息,医生姓名和诊断代码的电子表格。另一份文件载有7000多个人的类似数据。许多文件包含敏感患者的通讯,数据处理,医疗诊断和精神评估。至少有五个文件包含足够的信息被归类为在目前的保健违反通知规定的一个重要突破口。
虽然一些文件显示,奥巴马政府的卫生信息技术对经济和临床健康之前已经被泄露(HITECH)法案的颁布,许多似乎是相当新的。一个以前的研究达特茅斯在2008年还出土含保健数据漂浮在P2P网络中,如LimeWire的,电驴和BearShare的文件。在该研究中发现的文件是一个包含了一组麻醉医生和其他病人患者数据的350MB在芝加哥的艾滋病诊所。
许多企业仍在泄漏的文件共享网络,信息的事实是令人惊讶的,约翰逊在达特茅斯运营管理学教授,该论文的作者之一。
该HITECH法案,该法案去年九月开始生效,要求任何组织处理医疗保健数据来实现更强的控制为保护它。法律还要求这些机构公开披露涉及内违反发现后60天内患者的健康信息数据泄露。该法还显著扩大的所需遵守的称为HIPAA(健康保险流通与责任法案)患者隐私的联邦法律组织数量和种类。该法还规定了严厉处罚这些规定不符的情况。
敏感患者健康信息,P2P网络上免费提供的事实表明,许多企业仍然没有给予足够的重视安全,约翰逊说。
该数据被泄露如何
P2P网络数据泄露时,从P2P网站如Limeware和eMonkey文件共享软件包含敏感数据的计算机上安装不正确,通常会出现。通常,文件共享软件安装在电脑共享音乐和视频文件。在许多情况下,但是,用户配置软件不当,所有的计算机上的数据变为可见,并提供给P2P网络上的所有其他用户。
这样的失误导致了在过去几年P2P网络上主要的数据泄漏。一些较为高调的例子包括敏感细节上总统奥巴马的泄漏海军陆战队一号直升机过去的一年,其中详细说明特勤局安全住所供第一家庭文件,发现了一个P2P网络上的其他事件。
企业也已通过这种泄漏烧毁,包括涉及在制药公司的17,000名员工的个人信息违反一个辉瑞公司..这种泄漏促使立法者考虑新规则限制使用P2P软件在政府网络。另一法案旨在让软件开发人员,使他们P2P软件更安全。
在达特茅斯的研究中,研究人员希望研究的影响,该HITECH法案通过将会对P2P网络上可用的医疗保健信息的数量,约翰逊说。为了找到答案,研究人员观察了包含几个P2P网络的特定保健相关的关键字的文档。然后,将每个在搜索返回的文件进行检查对保健数据的存在,并在额定三点尺度基于所述数据的敏感性。
研究表明,健康数据是一样容易P2P网络访问,因为它是颁布的条例草案。文件的超过20%包含将被视为下HITECH规则保护的信息。更令人不安的是,该数据通常是在无保护的电子表格发现微软Word文档,这表明许多组织都没有充分保护数据,约翰逊说。在许多情况下,泄露数据的实体甚至不知道的事实,他说。
“大多数时候,有很多的怀疑和拖延是的推移,”当一个组织首先了解一个P2P数据泄露,约翰逊说。
Jaikumar维贾雅恩涵盖了计算机世界的数据安全和隐私问题,金融服务的安全性和电子投票。按照Jaikumar在Twitter上@jaivijayan或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
这个故事,“研究:P2P网络健康保障数据的宝库”最初发表计算机世界 。