最新报告称电子病历系统极易被黑客攻击
时间:08-24
来源:TechTarget
点击:
"医疗行业最好能去修补这些安全问题。"Daniel S. Nutkis,电子健康系统安全漏洞报告小组(eHVRP)执行委员eHVRP推荐行为
· 建立更好的用户、电子病历系统厂商和信息安全厂商之间的合作关系,以便交流安全漏洞信息。
· 建立与电子病历系统的信息安全问题相关的教育材料和支持服务。
· 建立准则和要求,使电子病历系统厂商和用户加强系统的安全保护,并采取补偿性控制手段。
· 鼓励和促进信息安全软件及服务厂商开发各种相关产品,以满足电子病历系统的安全需求。
· 建立专门机构去推广研究报告中的推荐做法。
一份最新的报告警告说,美国目前的电子病历(electronic health record,EHR)系统虽然实现了病人医疗记录的数字化,但非常容易遭到黑客的攻击。为了解决这种安全问题,CIO与开发这些系统的厂商必须更好地合作。
这一警告来自电子健康系统安全漏洞报告小组(eHealth Vulnerability Reporting Program,eHVRP),该小组由医疗从业人员和技术提供商组成,成立于2006年,主要职能是对美国的电子病历安全性进行评估。
"目前还没有一个电子病历系统是我们无法入侵并获得数据控制权的,"eHVRP小组的执行委员之一Daniel S. Nutkis说,"这些系统并不比银行的电子化系统差,但银行系统具备的复杂安全机制是它们无法企及的。"
在eHVRP这份39页的报告中,电子病历系统的网络安全漏洞不仅被归咎于医疗机构的监督不足,而且最主要被归咎于健康信息系统自身的缺陷,以及厂商对这些缺陷的隐瞒--在某些情况下甚至被隐瞒了许多年。在这个根据法律需要对风险进行评估和管理的行业,信息披露的缺乏尤其令人感到不安。如果厂商不去披露那些载有敏感数据的系统的安全漏洞,医疗机构就无法管理风险。
电子病历是指病人的数字化医疗记录。电子病历信息系统负责协调对医疗记录的存储和检索,而这些记录通常是从多种来源和地方获得的。
电子病历系统的安全漏洞让人担心的另外一个原因是,整个医疗行业正处于向无纸化病历转换的压力中。联邦政府已经制定了一个目标,要在2014年之前全面采用电子病历。而医疗保健机构本身采用IT技术的步伐一向比较慢,目前严重依赖于这些系统的许诺,即通过使用电子病历系统,能给行业和病人都带来好处,能让医生变得更有效率,能为病人提供更快捷的照料,并能降低成本等等。
"这样的话,我们必须采取一切可能的措施来保护这些系统,让它们在使用中避免遭到任何破坏,并确保用户的信心得以保持," eHVRP的执行委员Robert Mandel博士在一份声明中说。Mandel是Massachusetts州蓝十字保险公司(Blue Cross Blue Shield)负责医疗服务的副总裁。
eHVRP的报告是基于对850多家医疗机构为期15个月的调查研究而得出的。该小组总共测试了七个电子病历系统,其中有五个住院或门诊系统经过了医疗信息技术认证委员会(Certification Commission for Healthcare Information Technology ,CCHIT)的认证。
CCHIT的女发言人Sue Reber说该委员会对这一研究结果暂不发表看法。
受到评估和入侵检测的电子病历系统分布在大、中、小各种规模的医疗机构中,以便了解安全漏洞的类型和严重性。该报告的作者说,这项研究还分析了系统厂商和医疗中心为了减轻安全问题而采取的措施和流程。厂商的具体名称没有被说明。
根据研究发现:电子病历系统的厂商要么不披露、要么没有充分披露系统的安全漏洞给用户,使这些医疗机构无法正常管理电子病历系统带来的风险。受到研究的一个医疗应用程序曾经连续2,211天都存在安全漏洞。此外,目前没有行业组织有责任或被授权去解决电子病历系统的安全隐患问题。
小组的执行委员Nutkis是安永会计师事务所(Ernst & Young LLP)全国新兴技术实践的前任主管,并担任多家大型医疗机构的长期顾问。他说,该小组事先已经预计到这些系统存在安全漏洞。但不寻常的是,测试人员如此之快就能入侵到系统中。事实上,eHVRP犹豫过如何来披露自己的发现,因为他们不希望让医疗行业暴露在不必要的风险中,或对电子病历系统的采用率造成干扰。
"医疗行业最好能去修补这一安全问题,"Nutkis表示。他还补充说,有多个专业团体正在开展相关的工作,不仅针对电子病历系统,也针对医疗设备和实验室存在的安全问题。
没人觉得这种修补工作会很简单。让黑客们无法接触到这些系统已经是不可能的,因为许多应用程序都是Web界面的,会被大量员工使用。目前还没有建立相关的开发或测试标准协议。而Nutkis说,这个行业对此问题还存在"一些独特的分歧"。
"这个行业中尽管有强生(Johnson & Johnson)或United Health Cares这样的大机构,但也有许多只有少量医生的小型机构,"Nutkis说,"这些组织都是该行业的一部分,它们尽管面临着相同的复杂环境,具备的处理水平却是不同的。"
Bob Pappagianopoulos是Boston市Partners医疗系统公司的首席信息安全官及负责技术服务和操作的公司主管。他说自己同意上述报告中的许多观点。
"医疗系统必须竭尽全力去保护病人的数据,在数据的存储和检索上都应该这样," Pappagianopoulos在发给我们的email中写道。他说,他所在公司使用一种"自产的"电子医疗系统,该系统能不断对安全问题进行检测和改善。
· 建立更好的用户、电子病历系统厂商和信息安全厂商之间的合作关系,以便交流安全漏洞信息。
· 建立与电子病历系统的信息安全问题相关的教育材料和支持服务。
· 建立准则和要求,使电子病历系统厂商和用户加强系统的安全保护,并采取补偿性控制手段。
· 鼓励和促进信息安全软件及服务厂商开发各种相关产品,以满足电子病历系统的安全需求。
· 建立专门机构去推广研究报告中的推荐做法。
一份最新的报告警告说,美国目前的电子病历(electronic health record,EHR)系统虽然实现了病人医疗记录的数字化,但非常容易遭到黑客的攻击。为了解决这种安全问题,CIO与开发这些系统的厂商必须更好地合作。
这一警告来自电子健康系统安全漏洞报告小组(eHealth Vulnerability Reporting Program,eHVRP),该小组由医疗从业人员和技术提供商组成,成立于2006年,主要职能是对美国的电子病历安全性进行评估。
"目前还没有一个电子病历系统是我们无法入侵并获得数据控制权的,"eHVRP小组的执行委员之一Daniel S. Nutkis说,"这些系统并不比银行的电子化系统差,但银行系统具备的复杂安全机制是它们无法企及的。"
在eHVRP这份39页的报告中,电子病历系统的网络安全漏洞不仅被归咎于医疗机构的监督不足,而且最主要被归咎于健康信息系统自身的缺陷,以及厂商对这些缺陷的隐瞒--在某些情况下甚至被隐瞒了许多年。在这个根据法律需要对风险进行评估和管理的行业,信息披露的缺乏尤其令人感到不安。如果厂商不去披露那些载有敏感数据的系统的安全漏洞,医疗机构就无法管理风险。
电子病历是指病人的数字化医疗记录。电子病历信息系统负责协调对医疗记录的存储和检索,而这些记录通常是从多种来源和地方获得的。
电子病历系统的安全漏洞让人担心的另外一个原因是,整个医疗行业正处于向无纸化病历转换的压力中。联邦政府已经制定了一个目标,要在2014年之前全面采用电子病历。而医疗保健机构本身采用IT技术的步伐一向比较慢,目前严重依赖于这些系统的许诺,即通过使用电子病历系统,能给行业和病人都带来好处,能让医生变得更有效率,能为病人提供更快捷的照料,并能降低成本等等。
"这样的话,我们必须采取一切可能的措施来保护这些系统,让它们在使用中避免遭到任何破坏,并确保用户的信心得以保持," eHVRP的执行委员Robert Mandel博士在一份声明中说。Mandel是Massachusetts州蓝十字保险公司(Blue Cross Blue Shield)负责医疗服务的副总裁。
eHVRP的报告是基于对850多家医疗机构为期15个月的调查研究而得出的。该小组总共测试了七个电子病历系统,其中有五个住院或门诊系统经过了医疗信息技术认证委员会(Certification Commission for Healthcare Information Technology ,CCHIT)的认证。
CCHIT的女发言人Sue Reber说该委员会对这一研究结果暂不发表看法。
受到评估和入侵检测的电子病历系统分布在大、中、小各种规模的医疗机构中,以便了解安全漏洞的类型和严重性。该报告的作者说,这项研究还分析了系统厂商和医疗中心为了减轻安全问题而采取的措施和流程。厂商的具体名称没有被说明。
根据研究发现:电子病历系统的厂商要么不披露、要么没有充分披露系统的安全漏洞给用户,使这些医疗机构无法正常管理电子病历系统带来的风险。受到研究的一个医疗应用程序曾经连续2,211天都存在安全漏洞。此外,目前没有行业组织有责任或被授权去解决电子病历系统的安全隐患问题。
小组的执行委员Nutkis是安永会计师事务所(Ernst & Young LLP)全国新兴技术实践的前任主管,并担任多家大型医疗机构的长期顾问。他说,该小组事先已经预计到这些系统存在安全漏洞。但不寻常的是,测试人员如此之快就能入侵到系统中。事实上,eHVRP犹豫过如何来披露自己的发现,因为他们不希望让医疗行业暴露在不必要的风险中,或对电子病历系统的采用率造成干扰。
"医疗行业最好能去修补这一安全问题,"Nutkis表示。他还补充说,有多个专业团体正在开展相关的工作,不仅针对电子病历系统,也针对医疗设备和实验室存在的安全问题。
没人觉得这种修补工作会很简单。让黑客们无法接触到这些系统已经是不可能的,因为许多应用程序都是Web界面的,会被大量员工使用。目前还没有建立相关的开发或测试标准协议。而Nutkis说,这个行业对此问题还存在"一些独特的分歧"。
"这个行业中尽管有强生(Johnson & Johnson)或United Health Cares这样的大机构,但也有许多只有少量医生的小型机构,"Nutkis说,"这些组织都是该行业的一部分,它们尽管面临着相同的复杂环境,具备的处理水平却是不同的。"
Bob Pappagianopoulos是Boston市Partners医疗系统公司的首席信息安全官及负责技术服务和操作的公司主管。他说自己同意上述报告中的许多观点。
"医疗系统必须竭尽全力去保护病人的数据,在数据的存储和检索上都应该这样," Pappagianopoulos在发给我们的email中写道。他说,他所在公司使用一种"自产的"电子医疗系统,该系统能不断对安全问题进行检测和改善。
- 专家谈电子病历与DB2 9(05-25)
- IBM:DB2 9突破电子病历核心技术瓶颈(05-26)
- 黑客攻击顶级域名服务器数小时 属5年来之最(01-08)
- TJX公司数据泄漏事件的安全教训(05-22)
- 防黑客“抓鸡” 暑期江民免费杀毒(06-04)
- MySpace网页遭黑客入侵被植入恶意代码 (06-06)