Push für elektronische Krankenakten muss verlangsamen, für die Sicherheit Sake

Zu ​​den vielen neuen Bestimmungen des American Recovery and Reinvestment Act (ARRA) gehört die Bundesfinanzierung für elektronische Krankenakten. Das Gesetz, das als HITECH bekannt ist, gibt Gesundheitsorganisationen Anreize, persönliche Gesundheitsinformationen vor 2020 zu digitalisieren. In der Eile verlieren sich jedoch die Details.

"Ich freue mich darauf, dass medizinische Aufzeichnungen elektronisch werden", sagte Howard Schmidt Cybersecurity-Zar des Weißen Hauses, "aber ich habe große Bedenken, eine wirklich gute Gesundheitsinfrastruktur aufzubauen … und sie später zu sichern." Schmidt sprach mit PCWorld an der RSA 2009.

Das Gesetz, das auch Teile von HIPAA aktualisiert, gibt dem Minister für Gesundheit und menschliche Dienste bis Mitte August, um zu definieren, was eine elektronische Krankenakte ausmacht. Nach Schmidts Ansicht sollten die ersten Anforderungen mit einer starken Authentifizierung und Verschlüsselung beginnen, und bis jetzt hat der Minister genau das getan. Die HHS-Leitlinien beziehen sich auf bestehende NIST- und FIPS-Standards und beziehen sich auf ruhende Gesundheitsdaten, Daten in Bewegung sowie die ordnungsgemäße Vernichtung geschützter Gesundheitsinformationen. Leider haben einige Heilpraktiker begonnen, E-Health-Systeme zu kaufen, bevor die vollständige Ergänzung der Standards bekannt ist.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Schmidt erinnerte sich, wie die Leute Microsoft beschwerten, wo er arbeitete in den späten 1990er Jahren, um Windows Vista mehrmals zu verzögern. "Wir würden [Microsoft] kritisieren, wenn sie [Vista] geliefert hätten, und es hätte mehr Probleme als jetzt. Wir müssen uns also daran erinnern, dass es einen schönen Zeitplan gibt", warnte er aber, dass jeder Zeitplan auch eingebaute Grenzen haben sollte und Sicherheitsmaßnahmen. Bei HITECH, das in den ersten Jahren den Großteil seiner finanziellen Anreize vergibt, ist das derzeit nicht der Fall.

Im März haben sich Brian Chess von Schmidt und Fortify vor dem Kongress über die Notwendigkeit eines sicheren Software-Lebenszyklus geäußert. Ihr Vorschlag sah unter anderem vor, die Position des "Torwächters" zu schaffen, jemand, der die Möglichkeit hat, den Zeitplan eines Projekts zu sagen, wird verschwinden, wenn das Produkt diese besonderen Datenschutz- oder Sicherheitsanforderungen nicht erfüllt.

HITECH enthält die Das erste Gesetz zur Meldung von Datenverstößen, das besagt, dass alle Gesundheitsdienstleister, sei es eine Zwei-Personen-Arztpraxis oder eine große HMO, alle betroffenen Patienten über Verstöße informieren oder hohe Geldstrafen riskieren müssen. Die Idee ist, Gesundheitsdienstleister davon abzuhalten, das HITECH-Anreiz-Geld einfach zu sammeln, um ein wirklich cooles Gesundheitssystem aufzubauen, damit ein Arzt seinen Blackberry abholen und sagen kann: "Ja, Howard Schmidt. Hier sind seine Patientendaten." stimmt mit Schmidt überein und würde eher sehen, dass Gesundheitseinrichtungen von Anfang an E-Health bekommen, obwohl sie sich in Bezug auf die Mittel unterscheiden.

Schmidt sagt, dass er ein persönliches Interesse an E-Health hat. Er verbringt ungefähr 300 Tage im Jahr, fliegt und könnte in Singapur, San Francisco oder sonst irgendwo sein, wenn er ärztliche Hilfe braucht. "Vielleicht bin ich irgendwo ein Flugzeug; ich will nicht, dass sie sagen:" Oh, warte. Wo können wir die Krankenakte des Jungen finden? " Ich möchte, dass sie es in einer wirklich authentifizierten Methode abrufen können, die für die Situation, in der ich mich befinde, relevant ist. Es könnte mein Leben retten. "

Robert Vamosi ist ein Risiko-, Betrugs- und Sicherheitsanalyst für Javelin Strategy & Forschung und ein unabhängiger Computer-Sicherheitsexperte über kriminelle Hacker und Malware-Bedrohungen.