数字医疗保健如何安全是护理数据

数字医疗保健:护理数据有多安全?

由Pranna Lal,助理教授,国际管理学院新德里,印度

抽象的

数字革命改变了组织的工作方式;医疗保健行业也不例外。云计算,大数据,分析,人工智能等技术转换了数据存储和分析的方式。医疗保健数据包含有关个人的敏感信息,与其他行业相比,成为一个独特的情况。因此,本护理数据的安全性变得至关重要,需要考虑。本文的目的是了解医疗保健行业使用的信息系统和他们所面临的威胁。最后,应采取什么样的步骤组织以确保Carte数据的安全性。

介绍

从基于纸张的医疗记录到可穿戴医疗器械,技术在过去几年中,技术在改变医疗保健风格方面发挥了至关重要的作用。云计算,大数据,物联网(IOT),移动应用和分析等技术的引入是医疗保健中这种数字革命背后的力量。一方面,它已经改变了患者接受护理的方式跟踪医生在线预约,通过基于移动的健康应用来监测生命权,或通过远程医疗咨询医生。在另一方面,电子健康记录的可用性(例如患者的病史,实验室报告等)也帮助医生制定了更好,知情的医学决策。因此,为医疗保健行业的两个关键利益相关者提供双赢的局面。正如我们可以看到它是否提供或接受所有决定,需要一个重要组成部分即,数据。这是技术进入图片的地方。技术在医疗保健中的确切作用是提供数据以结构形式存储的解决方案,以及应随时随地可用,通过各种设备可用于快速参考或决策。为医疗保健数据提供强度的技术也是一个让它更脆弱的技术。让我们看看一个头条新闻

新加坡当局艾滋病毒状态超过14,000人在线泄露在线,[1] (CNN, Jan 29, 2019)

可怕,对!

医疗保健行业在过去几年中目睹了网络内人的激增。根据Statista医疗/医疗保健组织是第二次攻击的行业,在业务后的366个数据泄露,其中大多数(571)违反2018年期间报告的1244个数据违规行为[2]。医疗保健吸引了更多的网络犯罪分子,以便比任何其他行业更有利可图。有趣的是,个人健康信息比财务信息对黑市有价值的50倍,而偷窃患者健康记录每次记录的60美元可以获得60美元(比信用卡信息超过10-20倍) [3]。此外,与支付34%的金融组织相比,医疗组织对医疗组织的网络攻击每日或每日频率为39%[4].

医疗保健组织面临的网络攻击类型因赎金书,恶意软件,网络钓鱼而异。是什么让这种情况独特的是,这些Cyber​​Actacks的影响不仅将患者数据置于风险,而且扰乱了医疗保健服务提供者为患者提供护理的能力。因此,导致损失可能不仅限于金钱或数据而是寿命的情况。

看待这些统计数据,我们可以看到迫切需要在医疗保健中设计和实现高效的数据安全控制。要了解这些问题,我们首先需要查看医疗保健的景观,是什么让它变得脆弱。为什么黑客想要健康数据?可以做些什么来确保数据的安全性?

医疗保健行业和信息技术

过去十年目睹了医疗保健行业的基本业务流程中的大幅变化。预计将继续上涨,预计将在2017-2022之间的年度率下降5.4%,从7.724万亿美元到10.059万亿美元[5]。医疗保健的主要利益相关者,即患者,提供者,付款人和政策制定者(4P)[6] 现在正在寻找具有成本效益,技术能力的创新患者护理服务,易于访问和可在任何地方打破医院墙壁的边界。医疗保健环境变得越来越复杂,其中患者护理服务现在不仅限于医院,而且在他们的家中可能在不同的城市甚至不同的国家。医疗服务提供商,如医生,护士,药剂师,行政人员,技术人员和技术人员,治疗师在不同的位置工作,并使用不同的信息系统来在其结束时管理医疗数据。医疗保健的付款人是负责处理卫生服务的财务方面的实体(例如保险提供商),涉及处理患者资格,服务,索赔,注册或付款的处理[7]。最后,政策制定者是建立给该国提供医疗保健的框架的政策制定者’S公民。很明显,这些关键利益相关者之间存在强有力的关系,完全取决于数据的协作,反过来正在成为采用医疗信息系统(他)的推动力。

云计算,大数据,虚拟现实,人工智能和分析等技术在医疗信息系统(他)的演变中发挥了重要作用。这些技术用于提供网络的,其中来自医疗保健行业的每个利益相关者的数据可以存储和共享编译,分析和综合,以及通信和使用[8]。全球医疗信息系统的市场规模预计将达到2025年的1692亿美元,在预测期间注册了7.7%的复画[9].

医疗信息系统市场包括针对不同利益相关者的各种医疗保健解决方案。它可以从练习管理系统(PMS),电子健康记录(她),电子医疗记录(EMR),患者参与解决方案,收入周期管理,药房信息系统,实验室信息系统,到医学成像系统。表1介绍了这些工具和关键播放器的摘要。通过先进的技术云计算,可以将这些系统集成为提供在协作,操作和成本方面更有效的护理服务。

表1.医疗信息系统的类型

系统 应用 例子
实践管理系统(PMS) PMS用于简化实践的管理工作流程(例如医院)。

 

AdvancedMD,高级数据系统
电子医疗记录(EMR) 电子医疗记录(EMR)是单一实践的患者图表的数字版本。 EMR包含医师,护士从业者,专业,牙医,外科医生或诊所的患者的病史,诊断和治疗。 epic,allscripts.
电子健康记录(EHR) EHRS是建立与其他医疗服务提供者和组织的信息 - 例如实验室,专家,医学成像设施,药房,应急设施和学校和工作场所诊所 - 所以它们包含来自参与患者护理的所有临床医生的信息。 eclinicalWorks,Cerner.
患者订婚解决方案 患者订婚软件是一种旨在与患者进行通信的电子系统,提供教育资源,或管理患者提供者关系。 Nextgen Healthcare,Advancedmd
收入周期管理 收入周期管理(RCM)是利用医疗结算软件的财务流程,该医疗设施用于跟踪患者护理发作,从注册和预约调度到最终支付余额。 Athenahealth,Grentgent.
药房信息系统 协助药剂师管理药物过程。
实验室信息系统 实验室信息系统(LIS)是一种记录,管理和存储临床实验室数据的软件系统。 SUNQUEST信息系统,SSC软电脑
医学影像信息系统 跟踪结算信息和放射学成像。 Softneta,Emedica

 

医疗保健中的安全问题  

今天的医疗行业依赖于通过互联网连接和访问的技术解决方案。这些网络辅助提供商和付款人在制定快速高效的决策时,可以提供更好的效率。但我们无法监督这些技术或网络也使医疗保健行业成为网络犯罪分子和黑客的软目标,用于错误的动机。

有什么风险?

是的,您猜到了它对,数据。如表1所述,提供商或付款人可以使用各种类型的医疗信息系统来管理不同实体的数据。首先,医疗保健中的关键数据是患者,包括个人信息,例如姓名,地址,社会安全号码,联系方式,出生日期和健康数据,如疾病和住院,过敏和药物反应,药物和给药,第二,金融数据,临床数据等银行账号,信用卡详细信息等,患者可能已习惯使用其信用卡或网上银行支付。第三数据有关索赔与付款人的索赔。最后,它可以是有关医学研究,专利等的智力医疗保健数据

动机是什么?

首先,数据泄露的主要原因是通过销售患者健康数据进行大量资金。在深网络市场中,与信用卡或社会安全号码相比,医疗健康记录预计值得数百甚至千元,分别为约25美分和10美分[10]。通过创建重复的信用卡和进行欺诈来使用其他数据来赚钱。另一种情况可能是医疗身份盗用,其中患者的数据可以由其他人用于接受医疗,药物或向医疗服务提交虚假索赔。最后,动机可以通过黑客攻击知识产权并将其销售给竞争对手来损坏医疗保健提供者的品牌或企业。

有什么类型的安全威胁?

黑客和网络犯罪分子一直将IT安全公司保持在脚趾上。与组织相比,他们是使用新技术的制定方法来设计犯罪的新技术,这是不对的。

  • 勒索软件和其他恶意软件

2018年11月,由俄亥俄州谷卫生服务拥有的两家医院&教育公司(俄亥俄州马丁斯渡轮的骑士和东俄亥俄州地区医院的俄亥俄州谷医疗中心)成为赎金软件攻击的受害者。这种攻击影响了医疗保健的紧急功能,因为他们被迫关闭其IT系统。

目前,我们的急诊室无法通过电子队带来患者,但我们可以通过步入患者[11],“2018年11月25日,EORH和OVMC营销与公共关系的营销与公共关系主任Karin Janiszewski)

保健在医疗保健中的赎金软件攻击具有严重的影响,因为它们可用于劫持信息系统以及通过网络连接的医疗设备,甚至在支付赎金之前关闭整个医疗设施。在所有行业中,医疗保健是由勒索软件攻击所针对的顶级行业之一[一世]。此外,去年,18%的医疗设备一直是恶意软件攻击的目标[II].

  • 网络钓鱼

2018年8月20日,波特兰,俄勒冈州的旧版健康状况通知38,000名患者,网络钓鱼攻击可能会违反其数据[III]。此外,他们的调查透露,未经授权的第三方获得可能包含一些患者信息的员工的一些电子邮件账户。患者的名称,出生日期,健康保险信息,计费信息,有关遗产健康的护理的医疗信息,以及在某些情况下,社会安全号码和驾驶执照号码。

在一个网络钓鱼活动中,攻击者在电子邮件中作为合法的人或实体构成,以获取目标,以提供有价值的信息,例如凭据,或点击导致在受害者的机器上下载的ransomware的链接。不小心的员工可以点击链接或提供机密详细信息,可能会导致欺诈。根据COFENSE“付款通知”进行的研究作为顶级医疗保健网络钓鱼攻击主题[IV]。 2018年verizon数据突破报告显示,网络钓鱼攻击不仅突出,它们也在崛起,43%的数据违约来自此类事件[v] .

  • 内幕威胁

2016年1月20日,华尔街日报报道,五个人,其中包括两名前的药物巨头Glaxosmithkline(GSK)的研究科学家,并在美国向美国收取了窃取商业秘密,并将其销售给在中国运营的组织[vi]。被盗数据包括知识产权,例如有关多种生物制药产品的研究开发的信息。 2018年,科学家们都恳求犯下知识产权盗窃罪,但尚未计算财务损害的确切金额。此外,内幕威胁不仅包括员工窃取数据,而且因因禁止包含机密数据的员工笔记本电脑被盗而发生的事件而异[vii].

  • 技术管理问题

2018年12月26日,UW医学报告说,错误配置数据库导致互联网上的患者数据的曝光数周几周。令人兴奋的部分是,患者在谷歌上寻找自己的名字,并最终发现与患者名称,医疗记录编号以及信息的描述和目的有关的数据找到与UW医学文件相关的数据[viii]。除了错误配置的数据库或服务器之外,代表您提供或管理IT解决方案的组织或IT供应商缺乏适当的IT安全实施可能是数据泄露的原因。除了他的提供商的云平台的使用情况还增加了数据安全的风险。

  • 使用启用互联网的连接医疗保健设备的风险

随着医学互联网(IOMT)的推出使得可以为患者提供实时护理可以挽救生命,如心脏衰竭,哮喘发作或糖尿病等紧急情况。 IOMT设备可以收集有关血糖水平,血压,心跳等的实时数据,护理提供者可以监视有关药物的决定。连续葡萄糖监测器,闭环(自动化)胰岛素输送系统,智能吸入器,支持蓝牙的凝血系统是医疗保健中IOMT系统的一些例子。 IOMT市场正在增长,预计将在2020年达到2020年的医疗保健收入的收入近470亿美元[Ix]。方便起来的是成本。这里的成本是使用云平台存储的这些设备捕获的非常个人健康数据的风险。在2018年的一个案例中,一个适用于个人的健身跟踪应用程序,用于跟踪和分享日​​常锻炼路线的展示有关美国陆军基地的位置的敏感信息[X].

总而言之,医疗保健信息系统面临的安全风险范围从赎金软件,恶意软件攻击,网络钓鱼,来自员工,他的解决方案提供商等演员的威胁,或者可能是技术管理不善。表2列出了一些重要的违规,了解这些攻击不仅限于特定类型的攻击,特定地理或各种医疗信息系统。

 

表2:医疗行业面临的主要攻击

S.NO. 组织 违规类型 影响 参考
1 2019年3月 Meditab,加利福尼亚州 传真服务器未正确保障I.E.没有密码,从而访问任何可以实时阅读传输传真的人。 数千条记录泄露,包括医疗记录,医生的笔记,处方量和数量以及疾病信息,如血液测试结果等。传真还包括名称,地址,出生日期,以及在某些情况下社会安全数和健康保险信息和付款数据。 //techcrunch.com/2019/03/17/medical-health-data-leak/

 

2 2018年5月 穆什大学医学中心,芝加哥,美国 来自计费部门的员工披露了未经授权的党的档案 暴露了45,000名患者的名称,地址,出生日期和社会安全号码 //www.govtech.com/security/Medical-Center-Data-Leak-May-Have-Exposed-45K-Patients.html

 

3 2018年10月 - 2019年3月 Secur Solutions Group(SSG),健康科学管理局(HSA),新加坡的供应商 从供应商系统非法访问 个人信息超过800,000多名献血者在线暴露

 

//www.channelnewsasia.com/news/singapore/blood-donors-information-exposed-online-hsa-11349308

 

4 2018年12月 UW医学,华盛顿 一个错误配置的数据库,这是编码错误的结果 在互联网上暴露约974,000个个人的数据 //www.bankinfosecurity.com/misconfiguration-leads-to-major-health-data-breach-a-12042

 

 

确保数据安全的步骤

多年来,在医疗保健中遭到越来越多的数据泄露提高了医疗组织的警报,以采取强大的措施来处理局势,并确保他们应该准备应对这些威胁。他们需要改变他们的方法,以积极主动,以解决这种情况。他们可能所采取的一些行动如下:

  1. 提高用户之间的漏洞和威胁的认识

用户是对任何信息系统构成重大威胁的用户。在医疗信息系统的情况下,用户包括使用该系统存储,检索或分析护理数据的患者,医院员工,医生,护士,治疗师等。使用系统的任何人为错误或粗心性可能会导致数据泄露。因此,医疗组织应确保他们为员工提供培训,以及他的使用以及与他们相关的风险是什么。用户应该清楚地了解他们正在处理的数据以及数据是多么敏感,以及他们应该采取哪些步骤,以确保他们的行动都不会导致违规行为。它可能像确保使用它后从系统注销时一样简单,即使使用对等体,也不会分享他们的登录凭据,并保持笔记本电脑安全。对安全的认识不应该是一次性活动,应该在一段时间内再次提醒用户以获得更好的结果。

  1. 它合规

遵循安全合规性的组织始终处于较低的风险,更好地准备处理安全威胁。 NIST,HITRAST,TRICITION安全控制,ISO,COBIT是IT安全框架的一些例子,其次是世界各地的组织。在2018年他的网络安全调查中,NIST被确定为57.9%的医疗组织采用的最受欢迎的框架。安全标准的准则与国家不同,例如ISO 27001在国际上适用,而HIPAA适用于美国。

遵守任何安全标准的好处确保了本组织采取了适当的措施来保护数据。除此之外,他们还有明确定义了本组织风险管理和业务连续性的程序。

  1. 使用人工智能的安全解决方案

IT安全的最新趋势是使用人工智能的安全解决方案。使用基于AI的解决方案的好处是它们具有识别组织网络中的任何异常活动或行为的能力,并提高警报。这有助于安全管理人员采取预防性步骤来阻止违规行为。除此之外,还有基于AI的自动响应系统,可以处理任何没有人为干预的事件和行为。在医疗保健组织的情况下,需要投资于基于AI的解决方案,因为它可以帮助他们由于数据泄露而节省大量成本。

结论

虽然数据是任何行业的重要资产,但在医疗保健的情况下,它造成了讨论的挑战。确保医疗保健中的数据安全不是一个利益相关者的责任,但每个人都必须尽可能使其成为患者,提供者,薪金或政策制定者工作。医疗信息系统不能以隔离运行,他们需要一种集成方法来提供不同提供商使用的信息系统之间提供有效的协作和通信。如果网络中的任何一个链接较弱,球将在犯罪分子法庭上,这可能导致违约导致严重损害。研究表明,医疗保健行业正在成为犯罪分子的主要目标之一,因此,迫切需要采取行业利益攸关方采取预防措施,以确保护理数据的安全。

关于作者

Pranna Lal作者Pranna Lal是国际管理局新德里,印度国际管理局信息管理助理教授,以及印度和国际的期刊和出版物的出版作家。她是一个带MBA学位(IIT-Roorkee)的工程师。她是SAP-认证的顾问,并在IT服务管理中拥有ITIL®V3基础级认证。她拥有16年以上的学者和研究经验,利益领域是数据仓库和数据挖掘,业务分析,管理信息系统,软件项目管理,IT服务管理,网络法和云计算。她赢得了她的博士学位。在巴亚萨利大学的云计算领域,印度拉贾斯坦邦。她可以在[email protected]达到。

[1] //edition.cnn.com/2019/01/28/health/hiv-status-data-leak-singapore-intl/index.html

[2] //www.statista.com/statistics/273572/number-of-data-breaches-in-the-united-states-by-business/

[3] //cybersecurityventures.com/cybersecurity-almanac-2019/

[4] //www.radware.com/ert-report-2018/

[5] //www2.deloitte.com/global/en/pages/life-sciences-and-healthcare/articles/global-health-care-sector-outlook.html

[6] //jln1.pressbooks.com/chapter/3-introducing-the-key-stakeholders-patients-providers-payors-and-policymakers-the-four-ps/

[7] //blog.definitivehc.com/top-healthcare-payers

[8] //www.who.int/healthinfo/statistics/toolkit_hss/EN_PDF_Toolkit_HSS_InformationSystems.pdf

[9] //www.researchandmarkets.com/research/jvdvpz/the_global?w=5

[10] //www.forbes.com/sites/mariyayao/2017/04/14/your-electronic-medical-records-can-be-worth-1000-to-hackers/#3c11158050cf

[11] http://www.timesleaderonline.com/news/local-news/2018/11/hospitals-patient-information-safe-in-eorh-ovmc-computer-attack/

[一世] //www.beazley.com/documents/TMB/Factsheets/beazley-bbr-ransomware-factsheet-us.pdf

[II] //www.healthcareitnews.com/news/malware-hits-medical-devices-18-percent-healthcare-orgs-last-year

[III] //www.legacyhealth.org/our-legacy/stay-connected/newsroom/notice-of-email-phishing-incident.aspx

[IV] //cofense.com/state-of-phishing-defense-2018/

[v] //enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf

[vi] //www.wsj.com/articles/five-charged-of-conspiring-to-steal-trade-secrets-from-glaxosmithkline-1453333452

[vii] //securityboulevard.com/2018/03/employees-are-biggest-threat-to-healthcare-data-security/

[viii] //www.bankinfosecurity.com/misconfiguration-leads-to-major-health-data-breach-a-12042

[Ix] //dzone.com/articles/addressing-security-issues-in-connected-healthcare

[X] //www.theguardian.com/world/2018/jan/28/fitness-tracking-app-gives-away-location-of-secret-us-army-bases

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请