医疗机构受到越来越多的来自Internet的攻击的感觉,而安全事故涉及业内人士和消失的敏感数据堆积如山的笔记本电脑。最重要的是,现在有来自负责监督的HIPAA安全和隐私规则的联邦政府机构惊喜审计的前景。
医疗机构受到越来越多的来自Internet的攻击的感觉,而安全事故涉及业内人士和消失的敏感数据堆积如山的笔记本电脑。最重要的是,现在有来自负责监督的健康保险流通与责任法案安全和隐私规则的联邦政府机构惊喜审计的前景。
医疗机构正加紧努力保护电子病人信息,因为他们见证增加对医院网络,留意数据泄露可能损害如何病人和自己的声誉的攻击。
“肯定是有在攻击的上扬,”说约翰哈拉姆卡博士,CIO在两个贝斯以色列女执事医疗中心和哈佛医学院在波士顿地区。“隐私是我们一切工作的基础。我们不希望成为医疗保健的TJX。”TJX是去年公开了一种基于质量Framingham的零售商海量数据的破坏涉及客户记录。
哈拉姆卡博士,谁本周宣布在电子健康记录的项目作为一个在线服务的300名医生在贝斯以色列女执事医生组织,承认在医疗保健计算机有时会损害为垃圾邮件中继或主机未经授权的内容,如色情。
“这给了攻击者的手段来分发,”哈拉姆卡说。当他已经看到不袭击者针对医疗网络来窃取病人数据的获取经济利益的证据,其他安全专家说,危险的趋势正在有条不紊地进行。
“医疗机构很多宝贵的个人身份信息的存储,如社会安全号码,姓名,地址,年龄,除了银行和信用卡信息,”唐·杰克逊,研究员总部位于亚特兰大的安全服务的SecureWorks公司说。
SecureWorks公司已录得向互联网黑客的医疗保健客户导向试图攻击的数量同比增长85%,而这些尝试从11146跳到每个医疗保健客户每天在2007年上半年平均20,630每天在上半程通过今年一月的最后一年。
SecureWorks公司认为,一些最抢手的信息是从谁是病人的首选医疗网络计划的成员,该黑客转身和销售为凭据犯罪分子专门从事非法移民。
“凭据信息通常是通过有针对性的网络攻击被偷了,”杰克逊说,加入他看到一些情况下,健康保险凭证出售给不法分子伪造文件球拍,特别是在中美洲和南美洲。
内线进攻,也同样令人担忧。
特尼特医疗保健,拥有十几个国家超过50家医院,上个月公开的安全漏洞涉及得克萨斯州一名前结算中心的员工谁认罪窃取患者个人信息。他得到了监狱九个月。
而在佛罗里达州萨拉索塔市的身份诈骗案。上个月,谁获得了谁租在HealthSouth的Ridgelake医院办公室一名麻醉师的病人文件的访问办公室清洁认罪欺诈订货信用卡在网上被盗患者个人上信息。他有两个年监禁时间。
丢失和被盗的笔记本电脑也一直是个问题,缺少相关的总部位于明尼苏达州德卢斯,纪念血液中心的病人或员工个人信息的披露;山景,总部位于加州健康网;萨特湖滨医院在湖边,加利福尼亚州;与西方宾州阿勒格尼卫生系统刚刚过去的三个月内显现出来。
HIPAA的惊喜审计
除了信心这样的安全事故的损失挑起,政府监管探头的幽灵若隐若现关系到HIPAA联邦安全和隐私规则。
Gartner分析师巴里·鲁尼恩说,卫生和人类服务的美国部(HHS),负责监督遵守HIPAA,已与公司普华永道(PWC)今年的医院进行突击审计收缩。
“这是投诉驱动,”鲁尼恩说,并指出托尼Trenkle,主任中心的医疗保险和医疗补助服务在HHS,上个月公开表示,前10分左右的评论将在其中CMS收到有关安全的投诉医院。
在参观医疗机构,政府监管探头将重点安全隐患与数据和便携式存储担忧的远程访问相关的,预计回答了很多问题,安全管理人员。
CMS计划公布在其网站上,但不是该组织的名称,这些审计结果,除非它揭示重大失误,这可能会导致罚款或其他处罚下的HIPAA准则定义。上个月,亚特兰大皮埃蒙特医院是由HHS显露是第一个暗访HIPAA安全审计。医疗保健,治疗自己
信息技术管理人员表示,他们正在采取积极措施,以确保外网访问,同时确保经授权的用户仅限于看到什么,他们理所当然地应该。
在西奈山医疗中心在纽约市,政策有非常严格的员工连看病历没有道理。
“这是好奇心的因素,”杰克·纳尔逊,CIO在金刚山说西奈半岛,谁注意到,员工雇用的时候,他们可以在网上偷看被解雇被告知 - 有的已。
“这是一个打击你就出来 - 这就是[供]医生为好,”尼尔森说,并指出,医院的系统一般都是基于角色和跟踪每一个访问记录。
纳尔逊说,他最大的担忧是不是黑客试图打破,但敏感数据在网络上飞出,包括Mt.西奈半岛的大量临床实验室测试文档。所以山西奈最近安装在客户端计算机赛门铁克数据丢失防护软件来监控出站流量。
HIPAA是不是唯一的一套安全和隐私法规山。关于西奈的忧虑。“是健康的纽约州部,当你有大约10点病人的记录量的数据丢失,你必须报告”尼尔森说。“这是一个严重的违规行为。”
像山。Sinai医疗中心,总部位于迈阿密的健康福利公司AvMed健康计划也正在使用的预防数据丢失监控设备,以确保有关健康要求的敏感数据进行适当转移。
与医生办公室和医院的一些电子邮件通信必须根据HIPAA准则进行加密,指出查尔斯Hibnick,在AvMed首席系统安全架构师。自去年十月部署栅栏系统PacketSure监控设备提供了一种方法来确定,因为它标志的误差有时可能会发生的,比如有人忘记电子邮件的内容进行加密的这种政策是遵循。
“人们有时会说谢谢的时候,我们抓住这个” Hibnick说。监测是越来越重要,因为约80在AvMed健康声明%是电子,而不是主要的传真,因为他们只是五年前。
政府未宣布的HIPAA审计的前景是可以撼动任何一个事件,但在最后的分析中,联邦调查可能是很好的为医疗保健行业马克·雅各布,在数据中心运营的技术服务总监,在位于宾夕法尼亚州的WellSpan健康。
“HIPAA的确有助于在某些方面,获取健康信息社会做审计,日志记录和安全的消息和加密,”雅各布斯指出,加入HIPAA推动了他的医疗机构变为新的做法,如采用安全治理框架,单一登录在和密码提供。