3月2015

确保短信安全
内森·科利尔
郑重声明
第二十七卷第三页

短信已经成为使用最广泛的交流方式之一。这可能是由于发送短信是多么容易和快速。即使有人忙得没时间接电话，他们也很少会因为太忙而没时间查看短信。与发短信相比，听语音信息或回复传呼机通知也更耗时。由于这些原因，许多医疗保健专业人员正在使用短信来提高效率。

短信的问题
虽然发短信既快又容易，但最常见的短信格式——短消息服务(SMS)在医疗保健环境中不够安全。SMS文本信息以明文形式发送并存储在服务器上，在传输过程中可能被拦截。此外，有可能将短信发送到错误的号码。当消息到达正确的号码时，接收方不会通知消息是否已被阅读甚至收到。

短信一旦发出，就会无限期保存在接收方的手机上，无法收回短信。短信可以在手机中保存数月或数年。如果手机丢失、被盗、出售或捐赠，而没有删除这些短信，这可能会成为一场安全噩梦。因此，根据HIPAA规定，联合委员会禁止使用SMS传输受电子保护的健康信息。违规者将面临严厉的处罚，包括高达5万美元的罚款，更不用说对其声誉的损害了。

评估一个安全的短信应用程序
联合委员会没有禁止所有形式的短信，而是根据行政简化条款制定了保障通信系统安全的指导方针。这些指导方针指定了四个主要的遵从性领域:安全的数据中心、静态和传输中的数据加密、接收方身份beplay最新备用网站验证和审计控制。在选择安全的短信应用程序时，还要考虑它的易用性，以及在手机丢失或被盗时远程擦除或删除账户的能力。

如果一家医疗机构使用安全的短信应用程序仅供内部使用，这可能是一种安全有效的沟通方式。但是，当通信形式在设施外使用时，必须更加小心。例如，组织必须确保他们的联系人列表是准确的，以防止文本被发送到错误的号码。

外部短信
组织必须确定他们想要利用短信的程度。在基本层面上，短信用于发送预约提醒，通知患者可用的检查结果，并回答基本的医疗问题。如果一个组织选择接受病人的询问，它应该记住以下问题:

•回答医学问题的短信要收费吗?

•一天中什么时间适合接收短信提问?

•如果患者可以发短信，但拒绝来办公室怎么办?

深入的分析
安全的强度取决于最薄弱的环节。无论数据中心有多安全，为了让用户访问存储在其服务器上的敏感信息，必须创建一个包含用户名和密码的帐户。由于用户管理各种Internet帐户，因此在创建用户名和密码时，他们很容易选择简单性而不是安全性。为了避免将用户名和密码存储在内存中，一些用户会选择将信息保存为自动填充或在记事本应用程序中以纯文本形式保存。

如果设备在没有上锁的情况下丢失或被盗，那么它就有可能受到损害。即使安全消息应用程序能够清除帐户，在丢失或被盗报告之前，它也无法激活。在内部，医院领导层可以制定政策和程序来降低这些风险，但在外部，要控制风险就比较困难了。

考虑手机恶意软件也很重要，这在过去几年中呈指数级增长。恶意应用程序窃取帐户凭证的可能性是一个合法的安全问题。在移动设备上安装免费的反恶意软件扫描器有助于降低风险。

权衡风险
一个安全的短信应用程序可以帮助消除护理过程中的低效率，提高患者的参与度。TigerText, ArmorText, Doc Halo和Sprint Enterprise Messenger - Secure是帮助重塑患者和医生沟通方式的市场领导者。

检查它们的特性并权衡潜在风险，以正确评估文本消息是否适合您的组织。还要决定如何使用短信，并为其使用建立指导方针。采取这些步骤将在不牺牲安全的情况下提高倡议成功的机会。

-内森·科利尔是Malwarebytes的高级恶意软件情报分析师（www.malwarebytes.org)，有超过十年的资讯科技工作经验。