Cerca de uma vez por mês, a cada mês, há um novo artigo ou relatório de um hospital mantido refém por Ransomware; um ex-funcionário que rouba registos hospitalares; a perda descuidado de um laptop, smartphone ou tablet PC por pessoal hospitalar; ou malware que foi discretamente pá dados hospitalares a terceiros mal-intencionados.
Por que sistemas hospitalares em todo os EUA continuam a ser vítimas de mercado negro roubo de identidade?
Sistemas hospitalares são alvos frágeis, sistemas hospitalares em todo o país são alvos frágeis para ladrões de identidade e Ransomware por várias razões. Em primeiro lugar, os novos registros médicos eletrônicos (EMR) sistemas que agora são usados por muitos hospitais não foram projetados para incorporar extensas de segurança controles, métodos ou mecanismos como peças críticas de funcionalidade. Pelo contrário, foram desenvolvidos os sistemas EMR para prestar assistência ao paciente como a funcionalidade primária. O sistema hospitalar normalmente, para solicitar esses recursos de segurança, tem que ser adicionado em uma versão futura.
Além disso, muitas das políticas, processos e padrões dentro registros dos hospitais que mantêm departamentos foram, bem como software EMR, desenvolvido com a assistência ao paciente como o primeiro e mais importante objetivo. De dados e segurança do sistema são objetivos meramente acessórios; eles são bons para que se você pode obtê-los, mas não considerado crítico.
Estes sistemas também armazenar as informações do paciente em bancos de dados. Outros usam planilhas, porque eles são fáceis para o pessoal do hospital para gerenciar e usar. Raramente são bancos de dados normalizados, criptografados usando a melhor criptografia disponível, quer ao nível da tabela ou nível de campo. E as equipes de segurança da informação em hospitais e em sistemas hospitalares são frequentemente sobrecarregadas e escassez de pessoal.
Cada hospital em os EUA usa o número de Segurança Social de um paciente como o identificador primário para todos os pacientes que chegam. Normalmente, os hospitais usam um número de registro do paciente como um identificador secundário para sistemas de dados dentro do hospital, como o laboratório de diagnóstico, farmácia, unidade de cuidados intensivos, etc.
Número do RG de um paciente nunca expira; eles ficam com o indivíduo a quem foram atribuídos para a vida e mesmo após o indivíduo morreu. Números do RG, não só estabelecem status de identidade e cidadania de um indivíduo, mas também servem como âncora principal para a história educacional, histórico de crédito e rating de crédito de um indivíduo.
Estas são as principais razões por que indivíduos mal-intencionados têm como alvo sistemas hospitalares e continuará a orientá-las no futuro.
Quem comete Black Market roubo de identidade?
Indivíduos que desejam imigrar para os EUA ilegalmente vai pagar um preço alto por uma nova identidade: Os números de segurança social para os indivíduos falecidos comandar os preços mais elevados porque nenhuma administração dentro os EUA acompanha o uso destes números numa base de rotina.
Organizações terroristas que visam contrabandear pessoas para os EUA poderia facilmente comprar roubado números de Segurança Social no mercado negro. Terroristas lobo solitário de outros países que vêm para os EUA poderia doutrinar-se na sociedade através da aquisição de um novo número de Segurança Social. Com esse número vem de uma cidadania “ready-made”, histórico de crédito e história educacional.
Por estas razões, os hospitais gerais das crianças e hospitais de pesquisa das crianças devem ser especialmente diligentes quando se trata de segurança de dados. Número da Segurança Social de uma criança seria altamente valorizada no mercado negro porque estabelece status de identidade e cidadania, mas não está vinculada a um crédito, criminal, história educacional ou residencial.
Combate a “Black Market Identity Theft”
Os hospitais devem tomar as seguintes medidas para proteger informações protegidas de saúde (PHI) e informações de identificação pessoal (PII):
- Implantar e instalar as tecnologias mais recentes (isto é, software, routers, criptografia, segurança de banco de dados, firewalls) e aplicar linhas de base mínimos de segurança para todo o hardware instalado no ambiente.
- Esteja ciente dos diferentes sistemas hospitalares que lidam com PHI e PII e implementar a criptografia em todos eles.
- Colaborar na tecnologia, políticas, procedimentos, modelos de dados, padrões e governança.
- Afaste-se de controles de base territorial e do modelo de suporte em silos.
- Se PHI e PII é descarregado em um ou mais bancos de dados, software de banco de dados seleção que fornece criptografia, não apenas ofuscação.
- Pare de optar pela velocidade de implementação de tecnologias EMR em detrimento da implementação de controles de segurança apertados e medidas de segurança agressivas.
- Destinam-se a contratar pessoas com fortes antecedentes de segurança da informação, concentrando-se menos sobre se o candidato tem formação em cuidados de saúde, especialmente se esse indivíduo estará em um papel de gestão da informação.
- Utilizar sistemas de registos médicos electrónicos que criptografam dados em repouso e em trânsito usando criptografia de última geração e conjuntos de codificação.
- Utilizar bases de dados no ciclo de vida do atendimento ao paciente que incorporam criptografia em nível de tabela, no mínimo.
- Use soluções de gerenciamento de dispositivo móvel e conteinerização de dados para toda a tecnologia dispositiva móvel.
- Quando há uma violação de dados, possuir até responsabilidades e falhas. Fornecer informações adequadas para a aplicação da lei para que ele possa efetivamente executar o seu trabalho sem burocracia desnecessária.
Telemedicina: Um Desafio Segurança Negligenciado
A telemedicina não é nova no campo dos cuidados de saúde, mas tem sofrido avanços significativos com o advento do smartphone, a capacidade de chat tablet e vídeo. Equipes de atendimento ao paciente, equipes de diagnóstico e médicos especialistas podem agora utilizar a videoconferência para tratar um paciente que pode ser internado em um hospital em uma área enquanto as equipes de diagnóstico e especialista estão estacionados em um hospital de ensino em outro estado, ou mesmo em outro continente.
A telemedicina é rotineiramente ignorada do ponto de vista da proteção de dados. Embora baseado em telemedicina videoconferência possa fazer maravilhas para os pacientes, a maioria das equipes de atendimento ao paciente e até mesmo os próprios pacientes não irá considerar um streaming de vídeo de seu rosto ou corpo a ser uma forma de PHI ou PII. Pelo contrário, o rosto e corpo tanto pode servir como identificadores biométricos, porque eles são únicos para cada indivíduo, assim como impressões digitais.
Telemedicina e Crianças
Este tipo de PII torna-se informação especialmente sensível no domínio dos cuidados de saúde das crianças onde o paciente é muitas vezes sob a idade de consentimento. A criança pode não ter pais presentes na sala enquanto o vídeo é gravado ou streaming, ou os pais podem não ter consciência da equipe de atendimento está utilizando telemedicina. Mesmo se eles tiverem idade suficiente para consentir, os pacientes podem estar inconscientes e, portanto, sem saber o que está acontecendo.
Se a equipe atendimento ao paciente da criança sugere ou recomenda as lesões ou tratamento ser fotografados ou filmados, os pais devem pedir uma cópia de cada única fotografia ou gravação de vídeo. Eles devem manter o direito de se opor a qualquer fotografia ou vídeo que eles sentem não iria fornecer valor durante o tratamento.
Se a equipe atendimento ao paciente da criança recomenda videoconferência para consultar com outros hospitais ou equipas de cuidados, os pais devem ser permitidos na sala cada vez que a videoconferência é iniciada. Da mesma forma, se o pessoal de enfermagem utiliza videoconferência para conectar as crianças em salas de isolamento com os pais, a criança deve ser vestida e coberta de forma apropriada em todos os momentos.
Equipes de atendimento ao paciente nunca deve entrar no quarto de uma criança sem primeiro ser anunciando. Eles devem anunciar a razão para a sua entrada quando a criança está usando o banheiro, tomar banho ou trocar de roupa. Isto é especialmente verdadeiro se qualquer membro da equipe de atendimento está segurando um smartphone ou tablet com uma câmera embutida quando entrar no quarto.
O ponto acima não se aplica apenas às crianças; elas devem ser aplicadas a todos os pacientes, incluindo adolescentes, adultos e idosos.
Os pais devem estar atentos
Os pais não devem assumir a equipe de atendimento ao paciente tomará precauções para salvaguardar PHI ou PII da criança. Na maioria dos sistemas hospitalares, o primeiro e principal objetivo da equipe de assistência ao paciente é tratar o paciente. Tudo o resto, incluindo a protecção de dados, é secundário.
Para garantir PHI do seu filho e PII são protegidos, os pais devem:
- Guarde toda a documentação da criança ordenadamente em uma pasta ou fólio na estação de enfermeiros ou no sistema EMR, especialmente se o hospital tem uma equipe de limpeza noite ou alta taxa de rotação de pessoal;
- Certifiquem-se de que todos os e-mails trocados entre as equipes de cuidados com o paciente, tutores legais, seguradoras, fabricantes de dispositivos médicos, diagnósticos laboratórios, especialistas e farmácias são criptografados sem exceção;
- Garantir que todos os programas de telemedicina incorporar um canal de comunicação seguro, criptografia de última geração e infraestrutura de chave pública;
- Verifique se todas as fotografias, vídeos e sessões de videoconferência são criptografados cada vez que uma sessão é iniciada, sem exceção.
Dicas para aplicação da lei e agências federais
Há uma abundância de empresas de segurança da informação que monitoram a Web Escuro e mercado negro para uma ampla variedade de transações, tais como a compra e venda de identidades roubadas. A aplicação da lei devem compartilhar informações e cooperar com essas empresas de segurança.
As crianças sob os cuidados e de grupo adotivos casas são provavelmente os mais suscetíveis ao roubo de identidade e corrupção dentro sistemas hospitalares. Aplicação da lei, os serviços sociais e de informação de empresas de segurança poderá ser o parceiro de uma maneira que fornece uma rede de segurança e olhar atento para as crianças que de outra forma não têm ninguém para cuidar de seu futuro em longo prazo e bem-estar.
A aplicação da lei não devem assumir que o indivíduo responsável pela violação de dados estava agindo sozinho. Colusão sobre estes tipos de eventos é possível e vai se tornar mais prevalentes no futuro.
Dicas para EMR fornecedores de software
As empresas que criam e distribuem software EMR precisa aprender e praticar defesa em profundidade e abraçar o conceito de design de software seguro e desenvolvimento. Controles de segurança básicos devem estar no local na base de código em cada release.
EMR software deve oferecer suporte à criptografia forte, uma grande variedade de algoritmos NIST-aprovado criptográficos e conjuntos de codificação, SSL mútua e infraestrutura de chave pública. O software projetado e desenvolvido para dispositivos móveis deve ser capaz de suportar conteinerização de dados através de soluções de gerenciamento de dispositivo móvel ou de gestão de aplicações móveis também.