Push For Electronic Medical Records musi zwolnić, ze względu na bezpieczeństwo

Wśród wielu nowych przepisów, Amerykański Fundusz Odzyskiwania i Reinwestowania (ARRA), to federalne finansowanie elektronicznej dokumentacji medycznej. Znany jako HITECH, prawo stanowi zachętę dla organizacji opieki zdrowotnej do cyfryzacji informacji dotyczących zdrowia osobistego przed rokiem 2020. Zagubieni w pośpiechu są jednak szczegóły.

"Nie mogę się doczekać dokumentacji medycznej elektronicznej", powiedział Howard Schmidt, były "Biały dom", "ale mam ogromny niepokój związany z budowaniem naprawdę dobrej infrastruktury opieki zdrowotnej … a następnie zabezpieczam ją później". Schmidt rozmawiał z PCW światem na RSA 2009.

Ustawa, która aktualizuje również części HIPAA, udziela Sekretarzowi Zdrowia i Opieki Społecznej do połowy sierpnia, aby określić, co stanowi elektroniczną dokumentację medyczną. Według Schmidta początkowe wymagania powinny zaczynać się od silnego uwierzytelniania i szyfrowania, i jak dotąd Sekretarz właśnie to zrobił. Powołując się na istniejące standardy NIST i FIPS, wytyczne HHS obejmują dane dotyczące opieki zdrowotnej w stanie spoczynku, dane w ruchu, a także prawidłowe zniszczenie chronionych informacji zdrowotnych. Niestety, niektórzy pracownicy służby zdrowia zaczęli kupować systemy e-zdrowia, zanim poznany zostanie pełny zestaw standardów.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Schmidt przypomniał, jak ludzie obwiniają Microsoft, gdzie pracował pod koniec lat dziewięćdziesiątych, wielokrotnie opóźniając system Windows Vista. "Krytykowalibyśmy [Microsoft], gdyby wysłali [Vista] i mieli więcej problemów niż teraz, więc musimy pamiętać, że posiadanie harmonogramu jest miłe", ale ostrzegł, że każdy harmonogram powinien również mieć pewne wbudowane ograniczenia i zabezpieczenia. Obecnie nie jest tak w przypadku HITECH, który przyznaje większość zachęt finansowych w ciągu pierwszych kilku lat.

W marcu Schmidt i Brian Chess z Fortify zwracali się do Kongresu o potrzebie bezpiecznego cyklu życia oprogramowania. Ich propozycja wymagała, między innymi, stworzenia stanowiska "Strażnika bramy", ktoś, kto ma prawo do powiedzenia harmonogramu projektu, straci ważność, jeśli produkt nie spełnia tego konkretnego wymogu dotyczącego prywatności lub bezpieczeństwa.

HITECH uwzględnia pierwsza ustawa o notyfikacji naruszenia danych, która mówi, że wszyscy pracownicy służby zdrowia, niezależnie od tego, czy są to dwuosobowe gabinety lekarskie czy duże HMO, muszą powiadomić wszystkich dotkniętych chorobą pacjentów o wszelkich naruszeniach lub ryzykują nałożeniem wysokich kar pieniężnych. Pomysł polega na tym, aby uniemożliwić dostawcom usług medycznych po prostu zbieranie pieniędzy motywacyjnych HITECH, aby "zbudować naprawdę fajny system opieki zdrowotnej, aby lekarz mógł odebrać mu blackberry i powiedzieć" Tak, Howard Schmidt. "Oto jego cierpliwe dane." "Na ten temat rząd najwyraźniej zgadza się ze Schmidtem i wolałby, aby organizacje opieki zdrowotnej otrzymywały od samego początku e-zdrowie, chociaż różnią się od środków do osiągnięcia tego celu.

Schmidt mówi, że ma osobisty interes w zakresie e-zdrowia. Spędza około 300 dni w roku i może być w Singapurze, San Francisco lub gdziekolwiek, kiedy może potrzebować pomocy medycznej. - Może gdzieś jestem samolotem, nie chcę, żeby mówili: "Och, czekaj, gdzie możemy znaleźć dokumentację medyczną tego gościa?" Chcę, żeby byli w stanie wyciągnąć to w prawdziwie uwierzytelnionej metodzie, która jest odpowiednia dla sytuacji, w której się znajduję. To może uratować mi życie. "

Robert Vamosi jest analitykiem ryzyka, oszustów i bezpieczeństwa w Javelin Strategy & Badania i niezależny twórca zabezpieczeń komputerowych obejmujący hakerów i złośliwe oprogramowanie przestępcze.