您现在的位置:ITGov-IT治理研究中心>> G3沙龙>> >>正文内容
急救:医疗安全失调
发布时间:2009年05月08日点击数: 作者:ITGov中国IT治理研究中心 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
  随着网络承载越来越多的健康护理数据,医疗专业人士已开始严肃对待将资料保密的问题。
      对于Kari Cassel来说,安全实际上是生与死的问题。Cassel是Little Rock阿肯色大学附属医院的首席信息官。此医院是阿肯色州最大的医院,2003年的收治病人为46,000人,也是美国联网程度最高的医院之一。
附属医院使用的技术涵盖许多方面,从医生处方录入到自动药品柜(无需药剂师人工统计分发药物的数量,从而摒弃了这一易于出错的传统)。附属医院网络拥有7500台电脑及几千台其它设备,包括打印机和手持机。这一计算机网络改善了治疗状况并降低了成本 — 但也增加了安全风险。Cassel说:“除非我们可安全的保护这一系统,否则我将寝食难安。”
      所以,Cassel安排附属医院的网络进行大规模安全升级。在过去两年内,附属医院的安全支出上升了80%,达到350万美元。Cassel对从防火墙至入侵探测系统的所有方面均进行了升级,以使黑客更难侵入医院的网络。附属医院也在安装新的密码和稽核系统,以使Cassel和178位同事更容易的找出未经许可获取电子医疗信息的人。
     最优先任务。Cassel为什么要改造安全系统?部分原因是健康保险可携性及责任性法案即将实施的数据安全要求,这一联邦法要求在健康护理领域加强隐私和安全。这一法案的数据安全部分于2005年4月实施。Cassel说:“现在可以更容易地让管理层批准对技术安全的投资。”
这对信息安全领域确实是一个利好的消息。实际上,销售任何与健康护理信息技术或安全沾边的产品的公司均在不遗余力的推动这样或那样符合健康保险可携性及责任性法要求的产品或服务。这包括从大型系统集成商(例如Cap Gemini Ernst & Young)到安全软件提供商(例如Internet Security Systems (ISSX ))和小型新起公司,例如ServGate。
     这是一块巨大的蛋糕。根据健康护理研究公司Sheldon I. Dorenfest & Associates提供的数据,医院于2003年的技术装备支出达236亿美元。这一数字将在2006年前达到300亿美元。其中10%至20%的支出目前用于IT安全产品。这一百分率将会上升:根据健康护理信息与管理系统协会对健康护理高级IT管理人员的最新调查,78%的人表示安全是他们的首要任务。
     新思维。这与过去极为不同。尽管健康保险公司一直以来都强调安全,但医院、医疗诊所和护理诊所却对这些投资十分保守。事实上,根据市场调研公司Gartner的数据,医疗领域的基础设施投资中用于IT的预算不足5%,而金融服务和制造企业的这一比例为5%至10%。
大多数健康护理机构均认为技术设备极少有直接回报,且它们的系统不是被攻击的首要目标。Gartner分析员Wes Reishel说:“黑客更有可能攻击eBay而不是投保于蓝十字蓝盾保险公司的医院。所以日常运营所需的设备比安全投资更加受到重视。”
    现在,健康保险可携性及责任性法和其它因素正在改变着人们的思维。在过去,医疗记录均堆放于文件柜中,或以复杂的数据格式存放于大型机内。现在,随着越来越分散的网络应用,医院正在将更多的病人信息放入手持机和电脑内 — 及医生的家中,以使它们可在线研究图表。但这一技术的快速广泛应用(特别是医院的无线数据网络)增加了健康护理领域遭受黑客攻击的风险。Cassel说,附属医院在无线数据技术的使用方面较为缓慢和谨慎,因为担心安全入侵的问题。
    胡萝卜加大棒。健康保险可携性及责任性法要求进行电子稽核并严格保密病人的隐私,但联邦政府并未宣布不符合这一要求的处罚措施。所以这一新法案将会是一种自律性规定 — 健康保险公司迫使合作医院和医生遵守这些新要求。
    保险巨人Aetna法规遵守高级官员John Buchberger说:“我们正在举办一些培训和宣讲课程,以帮助他们了解这一法规。我们期待政府将提供更多的支持。”
    Buchberger认为,华盛顿可能更倾向于采取胡萝卜的方式,但加利福尼亚已拿起了大棒。去年,加利福尼亚洲通过了一个数据库完整性法律,要求向可能的隐私盗窃受害人通报所有可能的个人数据盗窃情况,否则,违反此规定的机构将受到高额民事诉讼的指控。   
   “文化变革“。鉴于过去几年间发生的几起颇具影响力的数据盗窃案件,数据安全已刻不容缓。2002年12月,窃贼从亚利桑那州的一个国防部合同商处偷窃了含有50万名军人及其家属的个人医疗记录和信息的电脑。尽管当局提供六位数的悬赏金,这一犯罪还是没有得到解决。    
    在去年发生的另外两起事件中,南亚医疗交易服务的员工试图从美国健康护理公司勒索钱财。在印度,当局逮捕了涉案员工。在巴基斯坦,涉案医疗记录誊写者接受了为其服务延期付款的状况,并撤销了在互联网中公布敏感医疗文件的威胁。    
    这些事件促使美国健康护理领域开始加强信息安全能力,并检查原来的宽松做法。肯塔基州最大的非赢利医疗网络Baptist Healthcare Systems(浸信会健康护理体系)信息系统总监Mitch Clemons说:“我们的发现让我们感到震惊 — 住院部每层楼的所有护士通常都使用同样的用户名和密码。现在,每个人都有自己的密码和登录名,这是一个大的文化变革。”   
    高效启动。许多健康护理公司的首席信息官均认为,新升级的安全系统将最终帮助他们在其它方面降低成本 — 或至少可使他们了解哪些老旧的IT基础设施需要进行更换。Medical Management Strategies(MMS)公司就是一个例子:它位于加利福尼亚圣路易斯奥比斯,提供医疗帐单索赔服务,客户包括分布于这一州中海岸沿线的50家医疗诊所。MMS正在拆掉连接至这些医疗诊所的老旧、慢速数据传输线,转而安装高速DSL线路,并通过虚拟专用网进行连接。这一网络在加密的数据通道内安全地保护着敏感的通信。   
    这一新连接可使MMS更好的管理并监控各个医疗诊所连接至其网络的不同计算机的安全。据MMS网络经理Mark Trejo介绍,这一新的DSL线路比原有连接每月节省75%的费用,而连接速度也快了近10倍。Trejo说:“部分连接可让我们每月节省900美元,医疗诊所也十分赞同我们的更改,因为它们知道这比原来更快,且其它没有任何改变。”   
    这确是一个巨大的改变:过去,安全技术支出仅是一个事后的想法,而数据安全只是指在中午外出吃饭前锁了文件柜。
相关文章
    没有关键字相关信息!
推荐文章
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计