幸存风暴-和其他电子病历停机灾难-记录杂志

10月2018

在风暴中幸存下来-以及其他EHR停机灾难
伊丽莎白·s·高尔著
郑重声明
第三十卷第九页

从飓风到黑客，各种力量都可能破坏医疗记录服务。你的组织准备好了吗?

当2008年飓风艾克袭击加尔维斯顿时，德克萨斯大学医学分部(UTMB)一楼被8英尺深的水淹没。医院校园在风暴到来之前已经被疏散，几天后洪水才退去，让当时担任UTMB HIM副主任的亚历克萨·克罗斯(Alexa Cross)和HIM团队回到岛上，调查损失并检索当前的病人记录。

大多数患者记录都在卫生系统最近实施的Epic EHR和其他医疗记录系统中，这在风暴后恢复供电后是有益的。

尽管情况如此，克罗斯和他的团队很快就把他的医疗部门搬到了岛外的克罗斯家里，在那里他们可以远程访问电子病历，并保持关键信息的流动。

克罗斯说:“我们把我的餐厅、厨房和书房变成了医疗记录部门，所以我们一天24小时都在发布信息。”他补充说，24小时的记录访问至关重要，因为岛上的疏散意味着病人分散在全国各地。“因为病人正在接受积极的治疗，我们在美国各地都发传真。病人可以在半小时内拿到他们的病历。它运行得非常好。”

2017年8月飓风哈维袭来时，克罗斯已经搬到了休斯顿卫理公会医院，在那里她是Epic HIM和Identity的高级系统分析师。经验教会了医院应急计划的重要性，以保持电子病历的使用，特别是应用从2001年热带风暴“艾利森”中吸取的教训，当时克罗斯是德克萨斯儿童医院HIM主任。

休斯顿卫理公会医院配备了大功率发电机，能够维持设施及其信息系统的正常运行，还配备了远程数据中心和业务连续性访问计划。Epic的Care Everywhere HIE平台也发挥了作用。

“EMR允许访问整个系统的[记录]，包括卫理公会医院和所有其他Epic设施的所有实践。如果患者没有选择退出，那么所有其他Epic机构都可以使用Care Everywhere，即使是在其他城市，这样他们至少可以访问摘要。患者还可以进入患者门户，这在上次风暴中产生了巨大的影响，”克罗斯说。

她在三次不同的自然灾害中的经历让克罗斯对如何在电子病历停机时最好地生存下来有了独特的见解，当大自然释放她的愤怒时。除了将纸质记录和缩微胶卷储存在离地面至少两层的地方，并为员工和灾难恢复供应商提供纸质备份或闪存盘，她还建议:

为护理人员创建一个指定区域，以存储撤离患者的纸质记录，最好是在HIM部门，以便提供信息请求;
为撤离人员提供全面的连续性护理文件和/或访问强大的患者门户网站，以便在需要时/如果需要，可以轻松访问他们的所有信息;
给每个部门分配一个专用的手机号码，这个号码应该是该部门的主电话号码，或者呼叫该号码应该被转接到该手机上;
为通常没有远程访问权限的员工建立远程访问权限，特别是那些担任HIM角色的员工;
确保IT计划保持更新，并为停机做好准备;和
在任何远程数据站点设置镜像。

“我们需要的恢复时间要少得多，因为飓风哈维对受灾地区的影响非常大。我一直在远程工作，但与其他风暴相比，它相对简单，”克罗斯说。“电子病历产生了巨大的影响。它通常会对患者信息进行快照，并将其放入业务连续性报告中。当预计灾难发生时，护理人员可以为他们单位的所有患者打印这份报告，这样他们就有了基本的临床信息，以便在停机期间进行治疗。”

人为的灾难
2015年5月，休斯顿圣卢克圣公会医院/天主教健康倡议圣卢克医院在遭受严重洪水和龙卷风袭击时实施了电子病历停机程序。

“我们的灾难计划包括每年分配员工到一个准备或恢复小组，”Sarah Glass回忆说，她当时是编码主管，RHIA, CCS, FAHIMA。“准备团队在风暴期间留在工厂，在电子病历系统瘫痪时管理纸质记录。救援小组撤离，并在风暴结束后返回帮助救援工作。”

然而，并不是所有的灾难都是大自然造成的。格拉斯说，计划外的电子病历停机可能是由破坏性恶意软件和勒索软件、停电和硬件故障等各种原因造成的。例如，波士顿儿童医院在2014年遭受了分布式拒绝服务攻击，该攻击使医院的服务器被数据淹没，从而中断了服务。两年后，加州好莱坞长老会医院(Hollywood Presbyterian)的电子病历遭到勒索软件攻击，为此该医院支付了1.7万美元的比特币赎金，以恢复其系统。

最近，密苏里州卡斯地区医疗中心的电子病历受到勒索软件攻击，迫使供应商关闭系统，同时医院制定了停机程序。在这种情况下，EHR供应商能够从计划外停机中恢复过来，但Glass指出，情况并非总是如此，特别是当停机是由于硬件，网络，电源丢失或互联网接入中断时。

她说:“如果你的系统因为网络中断而宕机，EHR供应商也帮不了你。”“如果你可以进入电子邮件和互联网，但无法进入电子病历，那么问题可能出在电子病历软件上，而不是服务器(硬件)上。如果你使用的是基于网络的电子病历，你既不能访问电子病历，也不能访问互联网;这可能是互联网服务提供商的问题。”

Ron Moser, CISA, CRISC, CCSFP，电子医疗网络认证委员会的高级站点审查员和从业人员进一步指出，任何时候组织依赖第三方提供电子病历相关服务，计划外停机都可能特别成问题。他说，通常情况下，中断是由糟糕的实施计划、连接问题，甚至糟糕的用户培训造成的。这也可能是一个纯粹的能力问题。

Moser说:“很多时候(EHR宕机)都是因为早期的活动，所以从一开始就有一个强有力的风险管理计划和流程是至关重要的。”“依赖第三方的组织需要知道他们需要从电子病历中获得哪些关键信息，以及他们可能会遇到哪些威胁。还有其他的事情。我怎样才能与供应商取得联系?如果系统是启动的，但没有响应怎么办?他们真的会达到他们所说的(标准)吗?”

从意外的EHR停机中相对毫发无损的最好方法是为最坏的情况做计划。

“跳出典型的灾难恢复场景[是至关重要的]，因为最严重的灾难是你通常不会想到的，”Moser说，并补充说测试内部和供应商的响应是至关重要的。“如果不进行实际测试，当(停机)发生时，你会发现出现了你做梦都没想到的延迟时间。”

Moser建议组织制定一个可靠的风险管理计划，包括来自IT、临床医生和其他任何可以提供见解的人的输入，当EHR关闭时，工作流会发生什么。最佳计划确定关键资产、过程和人员，并评估各种威胁实现的可能性。

“当涉及到你的EHR系统时，你应该期望能够与供应商一起进行灾难响应测试，这样你就可以(确定)，‘如果这些部分出了问题，你有什么计划来安置另一部分?’”莫泽说。“云、连接性等都是应该测试的东西。继续寻找最薄弱的环节，并不断进行测试。”

他还建议拥有本地系统，在EHR关闭时，可以缓存最即时的信息，或者在单独的供应商服务上拥有记录的本地副本。

莫泽说:“只要你的故障转移计划依赖于单个供应商，你就有可能遇到麻烦。”“如果需要的话，你需要一些你可以自己接管的东西。”

网络攻击正在兴起
由于针对医疗机构的网络攻击发生的速度是其他行业的两倍，如果没有特别关注如何在恶意攻击中幸存下来，那么关于电子病历停机的讨论就不完整。趋势科技首席网络安全官埃德·卡布雷拉(Ed Cabrera)表示，医疗记录在黑市上的售价往往高于个人身份信息(PII)。

由于它们包含PII、医疗保险和财务信息的独特组合，因此医疗记录数据可以出售并长期使用。黑客可以利用医疗记录制作伪造的身份证、纳税申报表和出生证明，通过处方信息购买药品，并制造虚假的医疗保险索赔。

卡布雷拉说:“此外，由于云、移动和物联网的数字化转型，许多医疗机构受到的攻击面越来越多。”“传输和存储敏感数据的联网医疗设备存在系统和技术漏洞，为攻击者提供了获取医院记录的绝佳途径。随着医疗机构面临越来越多的数字勒索攻击，这些系统的操作风险也将增加。暴露的设备和系统将使更多患者面临风险，从而为网络犯罪分子创造更大的利润潜力。”

Cabrera建议机构大力测试他们的灾难恢复策略，以减少或消除数字勒索的风险。虽然好莱坞长老会最终支付了赎金，但他建议不要这样做，因为“付钱给网络罪犯只会激励未来的攻击，而且，最终，你无法保证恢复的数据的完整性和完整性。”

相反，Cabrera建议采取以下步骤，以最大限度地降低攻击关闭EHR系统的风险:

识别:持续识别、映射和评估关键数据和系统，以识别其相应的威胁和漏洞。
保护:使用连接的威胁防御策略来安全地配置、监视和修补关键的医院数据系统。
检测:在内部和外部制定和部署主动战略(即下一代安全运营中心)和合作伙伴关系(执法和信息共享和分析组织)，积极寻找攻击和妥协的指标。
回复:开发和部署由第三方供应商支持的内部事件响应计划，以快速响应和减轻威胁。
恢复:制定和部署多学科恢复计划，以快速减少对患者护理的总体影响，并防止对手术和医院声誉的损害。

“将网络安全攻击造成的损害降到最低的最佳方法是主动制定多学科危机响应计划，并经常对其进行测试。我们知道攻击是可能发生的，所以要做好计划，确保采取正确的程序来迅速做出反应。”

——Elizabeth S. Goar是佛罗里达州坦帕市的自由撰稿人。

测试成功
当涉及到灾难恢复和业务连续性计划时，医院最常见的两个疏忽是未能进行测试和更新。这是ClearDATA首席技术官马特·法拉利的说法，他说，在一致的基础上通过模拟场景运行这些计划是控制损害的关键。

“让所有负责任的各方，从应用程序开发所有者和IT到营销和通信，都在房间里，这是关键。然后让一名调解人把一个潜在的场景演一遍，就好像它真的在发生一样，让各方就如何执行计划进行合作。”“虽然技术是在灾难恢复或业务连续性计划中执行故障转移的关键组成部分，但它不是所有部分的总和。你是如何与员工、病人、公众沟通的?哪些系统最重要，应该首先提出，哪些不那么重要?”

医院必须在进行变更时审查计划，而不仅仅是在部署新系统时。法拉利说:“你可能会让新的医生和护士入职，或者开设新的办公室，因此需要防火墙端口和IP访问控制。”“事实是，你的系统在不断变化。当变化发生时，你是如何使你的计划保持最新的?当你改变医院环境时，(计划)更新是否是一个核心考虑因素?”

——环境、社会和治理

资源和指导
有许多资源可用于帮助医院实施减轻EHR停机风险的计划。Sarah Glass, RHIA, CCS, FAHIMA，推荐数据完整性指南，这是美国国家标准与技术研究院(NIST)数据完整性项目的一部分;来自healthcare .gov的EHR更安全指南，使医疗保健组织能够确定建议的做法，以优化EHR安全;以及应急计划SAFER指南，该指南确定了与计划或计划外电子病历不可用相关的推荐安全措施。

HIMSS电子健康记录协会(EHRA)主席Cherie Holmes-Henry建议开发人员和提供商组织采用基于NIST网络安全框架的基于风险的隐私和安全框架。此外，国家卫生信息技术协调员办公室制定了《电子卫生信息隐私和安全指南》，这是卫生专业人员了解如何遵守隐私和安全政策要求的入门读物。

Holmes-Henry说:“我们鼓励制定实施指南和最佳实践来应用该框架，具体到医疗保健和医疗IT的许多方面，以提高采用率。EHRA认识到，大多数与医疗保健相关的网络安全漏洞是由于用户层面缺乏隐私和安全最佳实践。”为了改善这一点，我们支持为卫生专业人员提供网络安全最佳实践意识和基础教育的项目，并培养一种将隐私和安全视为提高患者信任和改善健康结果的推动因素的文化。”

——环境、社会和治理