个人健康信息的人手中,可以是痛苦的

信用卡数据并不是网络的主矿脉以前小偷。不仅是它的使用寿命一般短暂,也不值得它曾经是。

但是网络罪犯,除此之外,适应性强。首席执行官Daniel伯杰Redspin所说,“黑客是坏人但良好的经济学家。“所以他们只是转向提供了一个更大的货真价实的东西。

越来越多,是你自愿的数据移交给医生、医院和医疗保险公司,被称为φ,或个人健康信息。

身份盗窃的资源中心报道1月份报告的漏洞,医疗保健行业连续三年,最多2014年总数的42.5%。

根据多个报道,将近1.2亿美国人以来一直妥协的φ2009违反通知规则生效的联邦卫生经济和临床医疗信息技术(高科技)行为。

- 8000万的大部分都来自一个违反,健康保险巨头国歌今年1月。但已经有数百万的其他人:社区卫生系统报道450万条记录妥协从4月到2014年6月,和Premera蓝十字报道在过去的1100万年3月的违约记录。

最明显的原因是,它更有价值。美联社(Associated Press)报道今年早些时候,医疗数据获取到次偷来的信用卡在网络犯罪的价格市场,有许多原因:

• 信用卡可以快速取消,更换。φ-你的名字、年龄、性别、地址、社会安全号码、诊断标准、保险信息和个人病史——不能被改变。
• 信用卡数据基本上是只有零售购买的好处。但φ可用于创建假IDs购买医疗器械或药品和文件欺诈保险索赔。

“偷来的信用卡号码可以帮助一个人净几千欺诈指控,”Christopher Frenz说,跨信仰的IT基础设施主管医疗中心,“但被盗保险身份可以净人心脏搭桥在成千上万的花费。”

如此详细的个人数据可以有针对性的电子邮件或网络钓鱼攻击更容易和更有效。和亲密的私人医疗信息可以用于间谍活动和潜在的尴尬或者勒索。

这是“丰富的数据,”莫里斯淘洗沙金的人的话说,并建置电网公司的首席执行官。“医生要把完整的人,这就意味着有很多的数据,”他说。“然后添加所有必要的信贷和保险信息计费和还款。”

除了更有价值,它相对容易。加里·戴维斯,在最近的一次帖子McAfee的博客,称之为黑客“挂在低处的水果。”

多数专家认为,尽管近年来有需要的安全意识的加强,医疗数据。联邦健康保险流通与责任法案(HIPAA)和高科技的授权安全政策、管制和其他保护措施。

(还在方案:在这些数据泄露数百万条记录受损]

马丁•费舍尔亚特兰大医院系统的信息安全经理,说这些法律,连同”,增强执法的OCR(民权办公室),使得不同。我认为不断bar-raising愿意征收巨额罚款的是移动行业朝着正确的方向,”他说。

不过,他认为,“国家安全的φ是信用卡数据是五年前的事了。”

有多种原因使它更安全的将不是一个简单的事情:

• 像大多数的信息,它是越来越数字化。在过去,一个小偷偷走一百文件夹闯入一间办公室。现在,数百万条记录可以在医疗网络。
• 还有更多。数以百万计的人被医疗保险覆盖。淘洗沙金的人还指出,“新的和创新的健康信息的来源,是否健康追踪数据丰富的基因组数据。”
• 在紧急情况下需要立即可用。“你想让你的祖母的过敏原信息需要复杂的密码在急诊室她进入休克吗?”费舍尔问道。
• 它的目的是共享。所谓“有意义的使用”规则,是医疗补助EHR的一部分(电子健康记录)奖励计划要求φ共享与其他提供者。

“我们没有好的方法建立信任,然而,”Fisher说。

淘洗沙金的人对此表示赞同。“健康信息有一个奇怪的悖论,”他说。“你想要私人的大多数人来说,当你需要关心,你想让很多人看到它,非常快。你只是想要在正确的时间正确的人。这是一个非常艰难的工作流程,没有类似的存在于零售或金融世界。”

• 病人的访问,他们有他们的信息采取USB拇指驱动器或dvd,在其他地方下载。
• 更多的是在线。有门户网站,允许病人在家访问他们的医疗记录。我们的目标是给病人更多的参与自己的护理,从而改善临床结果。

但Frenz指出,“不安全地完成,病人门户是一个很容易利用公众面对门口到医疗机构的EHR系统”。

Frenz强调他的观点不一定是他的雇主,他们反映了他对整个医疗行业的看法,不是任何特定的组织。

但是他说除了有意义的使用规则,在医学领域,“越来越多的采用pac(放射学图像存档和通信系统)部门,许多医生,移动设备的广泛应用和不断增长的医疗设备成为网络启用。”

他说这些都是旨在改善护理,但许多组织中,“推出这些技术不能够投入很多资源的信息安全方面,病人护理方面的事情。”

事实上,推动改善病人护理,而显然值得称赞,倾向于众所周知的事后安全离开。

“紧张了许多供应商,”Fisher说。“我们花在安全,大元,还是买一个新的临床设备如核磁共振?许多医疗CISOs不知道如何领带的任务和需要安全提供者的核心使命,和每次都失去了这一观点。”

伯杰认为同样的事情。“φ是除了保护,”他说,并指出支出在医疗行业安全、“非常低与其他行业相比,依靠敏感数据。”

他没有看到地平线上迅速改善,甚至有更多的认识和更严格的监管。“整个生态系统可能获得更好的未来但冰川融化在这之前,”他说。

这并不意味着无事可做在冰川融化,然而。

伯杰说,首先,“φ应考虑资产等内部组织和被视为整体治理和风险管理过程”。

费舍尔表示同意。“明白的安全性是一个至关重要的部分患者的护理质量与安全,优先考虑安全,”他说。

他还敦促组织关注许多专家所说的基本安全卫生。“补丁和维护你的机器,”他说。“做良好的用户访问管理。选择一个框架,你必要的安全风险评估,然后无情地补救计划工作。

淘洗沙金的人说,政府应该发挥更积极的,现代的,作用。HIPAA,他说,于1996年成为法律,“不是为一个互联网和云计算的卫生系统。我们可以而且应该做得更好。”

和Frenz强调,需要人以及技术来提高安全性。“建立一个文化的安全是非常重要的,让员工知道安全是每个员工的责任,而不仅仅是它或安全这个词的人在他们的冠军,”他说。

“这将不仅有助于减轻问题从人类错误或社会工程攻击,但也会使其他控制措施更美味员工,因为他们将有一个更好的理解背后的基本原理的控制。”

这个故事,“个人健康信息的人手中,可以是痛苦的”最初发表的方案 。