2012年11月5日
抓住小偷
大卫·耶格尔
郑重声明
第二十四卷第二十期,P. 10
医疗身份盗窃可能很难发现,但明智的计划和患者参与可以有效地阻止。
大多数人都熟悉身份盗窃,但医疗身份盗窃仍然在雷达下飞行。然而,如果目前的趋势继续下去,这种情况不会持续太久。
世界隐私论坛估计,有25万到50万人成为医疗身份盗窃的受害者。与此同时,EMC的安全部门RSA在2010年发布的白皮书《网络犯罪与医疗行业》中估计,医疗身份盗窃平均每起事件给个人造成的损失为2万美元,而金融身份盗窃则为2000美元。
大多数专家都认为,医疗身份盗窃的发生率正在上升,但由于很难检测到,而且个人的记录可以用来提交多次虚假声明,因此很难衡量金钱和个人成本。
从数据泄露的数量和成本来判断——基本上是未经授权查看患者记录——医疗身份盗窃每年可能会给医疗保健系统造成数十亿美元的损失。2011年波耐蒙研究所(Ponemon Institute)的一项研究发现,数据泄露事件比前一年增加了32%,96%的医院在过去两年中报告了至少一次数据泄露。该研究还发现,2010年至2011年间,医疗保健组织的数据泄露平均成本增加了183,526美元,达到约230万美元。2010年波耐蒙研究所的一项研究估计,数据泄露每年给医院造成近120亿美元的损失。
不幸的是,在检测和防止身份盗窃方面,医疗行业远远落后于潮流。尽管大多数(如果不是全部的话)提供者都意识到它的潜在后果,但很少有人准备好处理它。在2011年Ponemon的研究中,不到一半(47%)的医院表示,他们有足够的政策来有效防止或快速检测未经授权的患者数据访问、丢失或盗窃。
四骑士
在医疗服务提供者开始遏制医疗身份盗窃之前,他们需要了解可能采取的形式。MBA、RHIA、CHPS、CPHIMS、FAHIMA的HIM解决方案主管哈里·b·罗兹(Harry B. Rhodes)表示,这通常分为四种类型之一,包括一次性案例,即一个人试图利用别人的医疗保险信息获得医疗服务。所谓的罗宾汉案件,即一个人让亲戚或朋友使用自己的信息,属于这类案件。然而,在某些情况下,医疗信息被泄露的个人可能不知道这种密谋。
虽然这看起来像是一种善意的犯罪,但它可能会给使用身份的人带来灾难性的后果。除了可能对他们的保险收取未经授权的费用外,医疗信息几乎肯定会被改变,当受害者为自己寻求医疗服务时,可能会产生严重的影响。例如,非糖尿病患者可能接受胰岛素注射或输血可能使用不正确的血型。
在另一种类型的医疗身份盗窃中,未经授权的医疗信息被用来获取处方药,特别是麻醉剂,然后可以使用或出售。通常,实施诈骗的人是受害者认识的人。然后,受害者可能面临一系列后果,从拒绝提供必要的药物到刑事起诉。
一种更隐蔽的医疗身份盗窃是内部犯罪。那些获得受保护健康信息的人有机会提交虚假声明,甚至创建自己的账户。这种行为在小型组织中问题更大,因为一个人可能对医疗记录有很大的控制权。
也许最难以检测的医疗身份盗窃类型是有组织犯罪实施的那种。这些复杂的、有预谋的攻击通常是为了在不引起注意的情况下赚取尽可能多的利润。例如,南佛罗里达的一个犯罪团伙将年轻女性培训为医疗接待员,这样她们就可以收集弱势客户的医疗信息,比如没有家人的老年患者,他们有痴呆症或阿尔茨海默病的迹象。犯罪接待员复制数据并将信息传递给他们的“老板”。
罗兹说:“他们总是确保所有的索赔都低于1万美元,这样就不会出现在国税局的雷达上,因为这是国税局审计的一部分。”“这些有组织的犯罪团伙经常在社区银行开设多个支票账户。然后他们会有帮凶,他们什么也不做,只是开车去所有的银行兑现所有的索赔支票。它们移动得非常快。他们来到你的商店,工作90到120天,然后离开。然后,最重要的是,他们经常搬到另一个城市,或者把你的信息卖给别人。”
一旦一个人的医疗信息被泄露,就很难纠正错误。这些信息可以多次出售,并用于提交几乎无法追踪的索赔。该系统将清理记录的重担推给了病人。医疗保健组织可能会认为受害者试图避免为合法提供的服务付费。在试图解决索赔时,支付账单通常是为了让债权人陷入困境,这可能非常困难和耗时。
管理保障措施
检测和防止医疗身份盗窃需要多方面的努力。最基本的防御是确保试图获得医疗服务的人是他所说的那个人。Verizon企业解决方案身份解决方案董事总经理保罗•唐弗里德(Paul Donfried)表示,医疗保健行业需要超越用户名和密码的身份认证方式。
“我们试图执行passwords-aka强,越复杂的规则,八个字符,一个大写,一个小写字母,数字,特殊字符,你必须改变它每30天,你改变它不能在列表的最后15你使用了我们试图这样做,较弱的我们实际上使生态系统的密码,因为我们把人写下密码或提出的公式,他们生成的密码,”他说。“最重要的是,我们已经远远超出了应该依赖用户名和密码的时代,这很可怕。”
在安全方面,验证一个人的身份归结为三个因素:他们知道的东西,他们拥有的东西,他们是什么。Donfried建议使用其中两个因素来识别患者。如果要成为医疗保健服务的一部分,强身份验证需要直观、灵活,并且对用户的干扰最小。通过现有技术,这逐渐成为可能。
公司正在开发的生物识别技术,与过去不同,不需要专门的设备或新的接口来工作。语音识别、面部识别、甚至视网膜扫描等任务正在成为手机和笔记本电脑上的选项。也可以使用手机——大多数病人都有——作为唯一的标识符。
Donfried说,注册手机很简单,并补充说有许多技术可以用来验证身份。例如,可以通过短信发送一次性密码,也可以拨打交互式语音应答电话。当与四位PIN结合使用时,这些技术可以提供更强大、更灵活的身份验证。
虽然最新的技术是必要的,但Clearwater Compliance, LLC的首席执行官兼创始人、CISSP、CIPP/US、CHP、CHSS鲍勃·查普特(Bob Chaput)表示,风险分析应该是首要任务。beplay最新备用网站他说,通常情况下,管理团队没有充分考虑hipaa规定的这一步骤——它应该揭示组织的漏洞。
员工培训也很重要。必须制定明确的数据安全政策和程序,以便员工确切地知道他们应该如何履行职责,并获得管理层的支持。查普特说,员工需要知道当病人到达医院时该怎么做,应该如何处理病人的信息,以及如果他们发现任何异常情况该怎么做。他指出,在强大的数据安全防御中,人为因素可能是最容易被忽视的因素。
“你可以有世界上最好的政策和世界上最好的程序,但如果你没有一个积极参与和支持的执行团队,熟练的合规和/或隐私安全人员,以及一支训练有素、意识清醒的员工队伍,你就会陷入麻烦。”beplay最新备用网站这是企业面临的最大问题,”查普特说。“这不是可能攻击你的网络的可怕的黑帽子;实际上是内部员工,其中一些可能是意外和不知情的行为,另一些可能是恶意行为。”
员工士气是另一个问题。一个快乐的员工不太可能泄露医疗信息,并且更能意识到任何潜在的违法行为。此外,设施应该对新员工进行背景调查,以防有可能引起关注的性格问题。
随着越来越多的设施实施电子病历,技术控制需要加强。防病毒和反恶意软件保护是必不可少的;数据应该加密。随着移动设备成为医疗保健数据连续体的更大组成部分,加密将变得更加重要。然而,设施也不应忘记将纸质记录锁起来。
由于规模较小的诊所经常使用互联网进行数据管理,罗兹说,他们应该创建一个简单的清单,以跟踪哪些员工可以访问数据、银行账户、用户名、密码、福利工具分配和其他敏感信息。每次上网工具发生变化时,办公室经理应及时更新信息。罗兹建议使用一份清单,列出员工的姓名、访问权限和历史变化。当员工辞职或被解雇时,办公室经理应从员工档案中检索互联网用户清单。当取消前员工的所有互联网访问时,该工具将非常有用,因为经理将不必依赖内存来确定分配给哪个员工的互联网工具。
尽职调查
除了管理数据安全的人为方面外,医疗保健组织还可以通过研究数据来提高捕获医疗身份盗窃的机会。不寻常的数据模式通常是有问题的提示。罗兹说,与医疗保险和医疗补助服务中心使用的预测数据模型类似,该模型基于Verizon算法,用于发现医疗保险欺诈,有助于发现异常情况,目的是在付款前发现不法行为。可疑的迹象可能包括同一患者的多个记录和同一类型治疗的多个索赔。
罗兹还建议使用国家正确编码计划的工具。由于许多从事医疗身份盗窃的人并不在医疗保健领域工作,他们经常提交不遵循编码规则的索赔。训练有素的医学编辑发现了这些不寻常的代码,可能就走上了揭露欺诈的道路。
此外,医疗机构应与患者合作,打击不当行为。消费者联络员可以通过指出账单中列出的从未接受过的服务、包含不正确的提供者或错误识别患者的账单,帮助医疗机构发现账单中的违规行为。然而,许多医疗保健组织未能利用这个有价值的信息源。
“很多时候,第一个发现(可疑行为)的人是病人。他们会收到一份没有意义的账单,或者他们会看到一些没有意义的活动。(医疗服务提供者)需要有一个处理场所,消费者可以来找你,那里确实有人接待他们,”罗兹说。你要确保不要让他们觉得自己很渺小或不好,或者他们占用了你的时间。你需要确保他们有任何其他问题都可以放心地来找你,因为这将有助于你抓住医疗身份盗窃。”
应鼓励患者检查他们对福利的解释,并立即报告异常费用或终身福利上限的显着减少。医疗身份盗窃越早被发现,就越有可能将损失降到最低。尽管这种犯罪行为会给医疗机构造成金钱和声誉损失,但它对患者的影响要深刻得多,也要持久得多。
查普特说:“如果有人偷了你的保险身份证,他们可以(用你的卡)很长很长时间。”“我们在医疗保健领域没有金融服务领域那样的机制。警报、警报和触发器都不存在。虽然我可以取消信用卡,但我不能取消医疗记录。”
大卫·耶格尔是宾夕法尼亚州罗伊斯福德的一名自由撰稿人和编辑。
