2011年9月12日
移动混乱
罗伯特·j·墨菲
郑重声明
第二十三卷第16期,第20页
智能手机、平板电脑和相关设备的出现为整个医院维护HIPAA标准增加了另一层复杂性。
尽管《HITECH法案》为加强个人健康信息安全增添了一些急需的内容,但数据泄露的数量及其相关成本仍在迅速增长。它们似乎随处可见,从私人医疗实践和教学医院到庞大的管理式医疗机构。似乎没有人会因为自己的过错而变得太大。
使问题复杂化的是,移动设备作为医疗保健专业人员的流行技术的出现。现在,平板电脑和智能手机已经加入了与笔记本电脑和pda竞争的行列,安全人员和IT专家面临着新的挑战,因为他们要努力应对熟悉的漏洞和更严格的执法。
根据波耐蒙研究所(Ponemon Institute) 2010年11月的一份报告,数据泄露每年给医院造成约60亿美元的损失。根据隐私权信息中心(Privacy Rights Clearinghouse)的数据,医疗相关数据泄露的数量几乎翻了一番,从2007-2008年的116起增加到2009-2010年的229起。
虽然轻率行为的数量在增加,但新兴的监管机构显然正在对欺诈行为进行相当大的打击。据美国司法部称,在截至去年9月的财政年度,美国司法部从医疗欺诈中追回了25亿美元,这是有史以来最大的一次。
这种模式延续到了2011年。根据美国国家标准协会(ANSI)的数据,相关责任方报告了249起违规行为,影响了820多万人。而且,医疗数据安全漏洞的代价往往比普通的身份盗窃要高得多。Javelin Research在2010年进行的一项调查显示,每次事故的成本差异约为20,000美元,而每次事故的成本差异为4,841美元。
在这个例子中,哈姆雷特完全颠倒过来了:这些行为显然并不“违反而比遵守更受尊重”。
成本不仅仅是金钱,还包括声誉——这是HITECH创始人之一的创意。遇到涉及500条或更多记录的健康数据泄露的组织必须向卫生与人类服务部(HHS)的民权办公室报告。这起事故及其细节与其他类似事件一起被发布在一个网站上,这个网站有时被称为“耻辱之墙”。可以把它看作是医疗保健版的殖民时代的栅栏。
Crowe Horwath是一家会计和信息安全咨询公司,在多个州设有办事处。该公司负责安全和隐私业务的高级经理克里斯托弗•威尔金森(Christopher Wilkinson)表示:“我们密切关注该网站,并对医疗行业存在的违规类型进行高级分析。”
没有付出就没有收获
位于俄勒冈州波特兰市的数据泄露咨询公司ID Experts的总裁兼联合创始人Rick Kam说:“除非一家机构遭受了重大数据泄露,并经历了随之而来的财务、运营和声誉成本,否则很难让高级管理层在所有竞争需求中合理地优先考虑信息安全。”
在数据安全风险不断增加的背景下,自满是不可取的。还记得人们曾经认为电子邮件可能是他们唯一的移动应用吗?马里兰州哥伦比亚市(Columbia)移动数据管理公司BoxTone的移动安全策略集团主管丹•迪林(Dan Dearing)说,当时,医生们满足于拥有一台笔记本电脑和一部黑莓(BlackBerry)手机。他补充说,这足以让他们觉得自己走在技术潮流的前面。
但近年来,随着不断扩大的创新为更广泛的数据应用打开了大门,IT已成为医疗保健行业不可或缺的一部分。随之而来的是大量机密医疗信息,这些信息可以存储在笔记本电脑或其他移动设备上。迪林说:“现在需要确保安全,而且需要以符合HIPAA安全规则的方式进行。”
丢失设备是最明显的数据安全风险。丹佛管理咨询公司Bluewater International的合伙人Gary R. Gordon博士说:“每年有多少笔记本电脑被遗弃在机场,这让我感到震惊。”“我说,‘你怎么能这么做?’”
在这种情况下有什么追索权?医疗机构可能会求助于HHS网站,那里有方便的图表列出了信息风险和应对策略。设备丢失的主要原因包括:
•确定必须跟踪的硬件和电子媒体的类型。
•记录损失现场发生的情况。
•启动对失控设备的锁定。
•密码保护设备及其包含的文件。
•要求存储个人健康信息的移动设备具备加密能力。
导致数据泄露的另一个常见途径是登录信息或密码信息丢失或被盗。这可能为未经授权的人员访问设备及其包含的信息提供了条件。
同样,卫生与公众服务部提供了预防措施。例如,在标准的用户名和密码之外,加上一个安全问题,比如“你最喜欢的百老汇音乐剧是什么?”然后设计一种方法来创建唯一的用户名,并在员工不在办公室时对其进行身份验证。
安全控制
任性的密码是如此普遍,他们的保护是威尔金森最喜欢的安全控制。紧随其后的是数据和设备应用程序的加密,这受到了许多顾问的青睐。
威尔金森说:“另一种(最受欢迎的安全控制)是对设备本身的数据进行加密,或者我们称之为‘沙箱应用程序’。”“它们允许这些设备在安全的环境中运行。如果你考虑到设备本身,那么应用程序就在具有安全模型的沙箱中。”
“你必须避免的最重要的事情是显得疏忽大意,”纽约威瑞森(Verizon)的信息顾问克里斯•戴维斯(Chris Davis)说。“所以如果真的发生了什么事,你至少可以说我已经使用了行业标准的指导方针来保护这些数据。在这种情况下做到最好。这是我能给出的最大建议。”
不幸的是,医生可能会导致个人健康数据泄露,特别是如果他们对某些形式的技术感到不舒服的话。
“医生不是商人,”戈登说。“虽然他们可能对很多事情都很了解,比如管理自己的设备——无论是pda、笔记本电脑还是ipad——但他们并不擅长。”
Gordon和Kam是由ANSI和其他组织的一个工作组的成员,该工作组召集了许多主题专家,撰写了一份关于医疗保健行业个人健康信息风险和漏洞的白皮书,并提出了解决这些问题的方法。该项目在本文付印时结束,该文件将在行业利益相关者、国会委员会和其他政策制定者之间散发。
训练的故事
彼得·加布里埃尔肯定不是第一个说出这句格言的人:“我们的强大程度取决于链条中最薄弱的一环。”这适用于医疗保健组织为保护存储在其员工移动设备上的个人健康数据所做的努力。数据泄露不会比下一个粗心的举动更遥远,而且随时随地都可能发生。
因此,个人健康数据安全顾问建议对携带包含机密信息的移动设备的所有工作人员进行培训。一个好的起点是建议你浏览一下HHS网站上关于HIPAA和HITECH法案的部分。同时,内部或来访的安全/IT专家可以通过简洁的演示传达丰富的有用指导。
“你必须让员工成为解决方案的一部分,”迪林说。“培训显然是一个很好的方法。让他们意识到可以使用的各种信息,比如说,在他们的智能手机上。必须向他们灌输,他们是这些数据的保管人。如果他们弄丢了设备,他们必须知道该怎么做。他们还必须知道设备上设置了某种策略,以便在丢失设备时保护它。”
威尔金森说,培训应该继续进行。“通常,在员工/用户在公司基础设施上激活设备之前,会进行培训。这种初始培训通常与签署的员工协议一起提供,该协议概述了用户对设备和存储数据安全的责任。”“在最初的培训之后,组织通常会将移动设备作为其年度安全意识培训计划的一部分。这些复习课程通常通过在线平台进行,可以通过电子方式跟踪出勤情况。”
Verizon医疗保健管理负责人南希•格林(Nancy Green)表示,可能80%的数据泄露是由员工的失误造成的。她指出,鉴于这一事实,传播最佳实践是至关重要的。
格林说:“我们希望确保人们知道什么是对的,什么是错的——你能做什么,不能做什么,你能发送什么,不能发送什么,什么是加密的,什么是不加密的。”
她补充说,员工还应该知道如果出现问题可能会带来的后果。
风险与回报
当然,如果不给笔记本电脑、平板电脑、智能手机和pda的用户带来可观的回报,医疗保健提供商和管理员就不会冒数据泄露的风险。从理论上讲,随着医生从纸质医疗设备转向电子设备,医疗记录的质量和效用在几十年(如果不是几个世纪的话)前有了飞跃。就在昨天,一个医生的接待区似乎还是森林般的一排笨重的书架,在一千个或更多的文件夹的重压下呻吟着。
乐观主义者可能会认为,在移动设备激增的时代,更多的经验将促进对这些机器的更多了解,从而减少个人健康数据泄露。无论如何,移动设备将继续存在,因此医疗保健提供者应该学会与它们共存。
戈登表示,有趣的是,尽管过去几年数据泄露的数量有所增加,但与平板电脑和智能手机有关的事故却很少,笔记本电脑是罪魁祸首。然而,适用于笔记本电脑的安全控制同样适用于较新的移动设备。那些打算传播谨慎安全措施并愿意遵守这些措施的人可能是所有人中最乐观的。
- Robert J. Murphy是费城的一名自由撰稿人。