二零零七年七月九日
在安全性和可用性之间进退两难
伊丽莎白·s·鲁普著
郑重声明
第十九卷第14期,第24页
一项研究表明,基于usb的个人健康记录对供应商网络构成严重威胁。但这重要吗?
它们为消费者提供了一种方便、实惠的方式来维护和运输他们的个人物品
但是俄勒冈健康与科学大学最近的一项研究发现,安全漏洞可能会导致一些供应商在将基于USB(通用串行总线)的PHR插入计算机以检索患者数据之前三思而行。
USB设备很受欢迎——根据研究公司Gartner的数据,今年全球出货量将超过1.1亿台——因为它们价格低廉、便携,而且可以容纳大量数据和复杂的应用程序。这些特性正是为什么所谓的拇指或闪存驱动器是理想的PHRs,也是许多商业上可用的、独立的产品的基础。
然而,俄勒冈健康的Adam Wright,学士和Dean F. Sittig博士的一项分析发现,当供应商接受病人的usb PHR时,他们可能会给自己带来麻烦。
在对五款基于usb的PHR产品中的三款进行测试后,两人发现他们可以修改设备上的程序,这样,当连接到计算机时,他们就可以从系统中搜索数据并将其复制到设备上的隐藏位置,同时看起来完全正常运行。
“现有的由病人控制的USB设备所构成的安全威胁是严重的,”Wright和他坐在“基于USB的个人健康记录所构成的安全威胁”中写道内科学年鉴。“根据基于usb的个人健康记录的修改方式,设备上的程序可能会篡改数据(例如,输入未经授权的处方);传播电脑病毒;破坏计算机所连接的医院或诊所网络;留下有害的软件,例如,可以捕获用户名和密码,并将其持续发送给该人;当医生在设备上查看病人的健康记录时,还可以复制财务或健康数据。”
野兽的本性
根据Wright的说法,安全漏洞源于这样一个事实,即基于usb的phr被设计为容易被消费者反复修改。
他说:“在某种程度上,它必须是这样的,因为你把病人的信息存储在这个u盘上,所以如果它完全是只读的,就没有办法把信息写入其中。”
问题是,USB驱动器的读写特性意味着不仅可以添加数据,而且每个驱动器上包含的允许患者和医生查看健康数据的应用程序也可以被修改。
甚至在应用程序本身存储在USB驱动器上的只读分区中的设备上也是如此。当程序启动时,它立即调用驱动器读写部分的另一个软件,这是赖特和西蒂格能够修改的。
“很难想象你能让这些USB设备上的软件既运行又安全。这是当前操作系统模式的问题之一。“在您的计算机上运行的任何程序都具有[用户拥有的]所有特权和权限。如果你有能力查看、删除或写入文件,那么你运行的任何软件都可以做到这一点。”
保持平衡
Integro Insurance Brokers公司专门从事科技行业风险管理的负责人泰德•杜利特尔(Ted Doolittle)表示,尽管目前还没有关于重新编程的基于usb的PHRs导致安全漏洞的报道,但风险仍然非常现实。
“就医疗保健而言,我认为现在有点言过其实,因为你知道有多少人把他们的个人健康记录放在u盘上?(但)这种情况将会改变。”“这并不是一个不合时宜的话题,但我们可能有比人们想象的更多的时间来了解如何处理它。当你的用户群体相对较小时,现在就去做(纠正问题)要好得多。”
挑战将是在安全性、可移植性和用户友好效率之间找到适当的平衡。大多数基于usb的phr供应商已经用加密和密码保护了硬盘上的数据,但这些措施对设备接入的公司几乎没有保护作用。
杀毒软件和反恶意软件只能做这么多,Doolittle说。它们可以在发布之前捕获一些病毒,但它们并不是万无一失的,公司必须保持其定义和补丁的最新状态,这可能是一项劳动密集型工作。也总是有新的病毒和攻击被设计出来,还没有补丁。
他说,一旦一种设备被引入到一个系统中,并启动了一个修改后的程序,“它就进入了竞赛阶段。”“这就像有人通过你的电子邮件向你发送病毒一样。一旦你点击了它,就太晚了。如果它打开的程度足以告诉你有问题,那它就已经存在了。”
找到一种方法让u盘充当自己的操作系统,或者在允许运行它们包含的任何程序之前扫描它们。Doolittle说:“问题是你是否能够有效地做到这一点,并确保它的成本不会太高。”“在安防行业,效率与安全之间一直存在着牵引力。完美的安全意味着我们永远不会交易数据。你永远不会让两个系统相互接触。另一方面,这是非常低效的。”
这是基于usb的PHR供应商所熟悉的平衡行为。CapMed的两个设备是Wright和Sittig所做分析的一部分,一个是来自MedicAlert的电子健康密钥,另一个是个人健康密钥。这两家公司都提供256位加密技术来保护存储在设备上的数据,该公司正在寻找方法来锁定应用程序本身,包括从设备制造商那里获得安全软件许可。
“我们制作用于医疗保健目的的程序的复杂程度,以及与安装需要从第三方许可的不同应用程序相关的额外成本与可用性之间的平衡始终存在。CapMed总经理温迪•安格斯特(Wendy Angst)表示:“这就是界限所在。
假设大多数系统和软件程序都有某种类型的病毒扫描过程,应该在恶意软件被引入系统之前捕获它。
“这些方法都没有万无一失的方法来确保没有任何东西被转移,”昂斯特说。“如果(某人)想要修改软件应用程序本身,锁定它的方法只有这么多。它必须是一个老练的,有决心的用户,他想进入那里,并真正做到这一点。但谁知道呢。”
提供Wright和Sittig分析的第三种设备的Med-InfoChip公司的总裁Carl Franzblau博士指出,即使存在恶意代码被编程到基于usb的PHR上的可能性,它仍然比从一个供应商到另一个供应商携带纸质文件要安全得多。此外,在需要的时间和地点提供必要的卫生信息所带来的好处远远超过其风险。
“美国三分之一的死亡是由于失误造成的。这些都是不可思议的数字,它们是由于错误造成的,因为没有人有任何数据。”“如果你说你可以减少这种情况,例如,我碰巧知道我正在服用的所有药物,包括处方药和非处方药,我可以把这些信息告诉我的医生,因为我的芯片上有[这些信息]……这将是一件很棒的事情。”这就是它的意义所在。我全力支持安全,但不要把安全搞得太好,以至于在需要的时候无法获得个人信息。”
保护你自己
Wright和Sittig在他们的研究中得出结论,因为没有可靠的机制来验证基于usb的PHR程序的完整性,提供者避免攻击的唯一方法是不接受患者的此类设备。
不过,他们也指出,基于网络的个人档案是一种更安全的选择,因为它们是通过网络浏览器查看的,不需要特殊的软件来运行。其他PHR选择包括基于cd的程序,将数据存储在消费者的计算机上,让他们为医生生成报告,或通过安全的数据交换共享信息。
多样性意味着患者和提供者可以选择他们最满意的PHR格式,从而降低安全风险,同时在需要时提供患者健康信息所带来的好处。
“作为一家公司,我们采用的部分做法是,USB是一种型号,”安格斯特说。“这并不是说,‘你要么接受这个,要么就不能交换信息。我们认识到,需要有多种沟通信息的方式,以满足患者和提供者的需求。”
但是,虽然供应商控制着每台设备的安全级别,消费者控制着对基于usb的PHRs信息的访问,Doolittle说,当插入设备时,供应商可能最终承担确保其系统安全的首要责任。
“提供者将被责任困住,不管它是否属于那里。他们是将要看到数据的人。当你插入一个经过修改的设备时,它首先会显示在(供应商的位置),”他说。“即使是那些以此为生的人——被愚弄(get - fool)——也不是一个正确的词——但也有一些人什么都不做,只是想出制造问题的方法。在山口没有办法阻止这一切。”
这就是为什么他建议任何人——包括供应商和供应商——使用、存储或传输患者个人身份信息的人不仅要保护自己的技术,还要保护自己的网络责任保险,以保护他们免受数据泄露可能造成的经济损失。
Franzblau说,归根结底,重要的是不要让对潜在安全漏洞的担忧否定了phrr可以做的好事。
安全“是一个非常大的问题,但我不认为这是第一要务。首要任务是确保每个美国人随身携带他们的个人健康记录,”他说。“我们都将努力工作,最大限度地提高安全性,但不要忽视重要的事情——人们可以轻松地报告自己的记录。”
——伊丽莎白·s·鲁普来自佛罗里达州坦帕市。专门从事医疗保健和HIT的自由撰稿人。
