Push for elektroniske medisinske poster må gå sakte, for sikkerhetens sak

Blant de mange nye bestemmelsene er American Recovery and Reinvestment Act (ARRA), føderal finansiering for elektroniske medisinske journaler. Kjent som HITECH, gir loven incitamenter til helsevesenet organisasjoner til å digitalisere personlig helseinformasjon før 2020. Tapt i rushen, men er detaljene.

"Jeg gleder meg til medisinske poster som går elektronisk," sa Howard Schmidt, den tidligere White House cybersecurity czar, "men jeg har en enorm mengde bekymring for å bygge en virkelig, veldig god helsetjenester infrastruktur … og deretter sikre det senere." Schmidt snakket med PCWorld på RSA 2009.

Loven, som også oppdaterer deler av HIPAA, gir Helsedepartementet og Menneskelige tjenester frem til midten av august for å definere hva som utgjør en elektronisk medisinsk rekord. I Schmidts oppfatning bør innledende krav starte med sterk autentisering og kryptering, og så langt har sekretæren nettopp gjort det. Når det gjelder eksisterende NIST- og FIPS-standarder, inneholder HHS-veiledning helsetjenester i ro, data i bevegelse, samt riktig ødeleggelse av beskyttet helseinformasjon. Dessverre har enkelte helsepersonell begynt å kjøpe e-helsevesen før det er fullt kjent.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Schmidt husket hvordan folk feilte Microsoft, hvor han jobbet på slutten av 1990-tallet, for å forsinke Windows Vista mange ganger. "Vi ville kritisere [Microsoft] hvis de sendte [Vista] og det hadde flere problemer enn det gjør nå. Så vi må huske at det er fint å ha en ruteplan," men han advarte at enhver tidsplan også skulle ha noen innebygde grenser og garantier. Det er for øyeblikket ikke tilfellet med HITECH, som tildeler hovedparten av sine økonomiske incitamenter innen de første årene.

I mars tok Schmidt og Fortify's Brian Chess opp Kongressen om behovet for en sikker programvare livssyklus. Deres forslag krever blant annet å skape posisjonen "Gate Keeper", noen som har makt til å si et prosjekts rutetabell vil slippe hvis produktet ikke oppfyller dette spesielle personvernet eller sikkerhetsbehovet.

HITECH inkluderer også nasjonens første lov om brudd på brudd på informasjon, en som sier alle helsepersonell, det være seg to todelt lege eller stor HMO, må varsle alle berørte pasienter om brudd eller risikere store bøter. Tanken er å hindre at helsepersonell rett og slett samler HITECH-insentivpengene til å "bygge et veldig kult helsevesen, slik at en lege kan hente sin bjørnebær og si" Ja, Howard Schmidt. Her er hans pasientdata. "" På denne måten regjeringen tilsynelatende er enig med Schmidt og vil heller se at healtcare-organisasjoner får e-helse fra begynnelsen, selv om de er forskjellige på måten å oppnå dette.

Schmidt sier at han har en personlig interesse for e-helse. Han tilbringer omtrent 300 dager i året som flyr og kan være i Singapore, San Francisco, eller hvor som helst når han kanskje trenger medisinsk hjelp. "Kanskje jeg er et fly et sted, jeg vil ikke at de skal si" Å, vent. Hvor finner vi denne fyrens medisinske rekord? " Jeg vil at de skal kunne trekke den opp i en virkelig autentisert metode som er relevant for situasjonen jeg er inne. Det kan redde livet mitt. "

Robert Vamosi er en risiko, svindel og sikkerhetsanalytiker for Javelin Strategy & Forskning og en uavhengig datasikkerhetsforfatter som dekker kriminelle hackere og malware trusler.