根据医疗行业的追踪记录显示,目前病人信息的保护工作仍然差到“令人不安”。两份最新报告指出,这一状况甚至在2009年更为严格的联邦法案出台后仍然没能得到解决。如果整个行业找不到保护手机中病人信息的有效方案,事态很可能进一步恶化。
前不久由卫生信息信任联盟(简称HITRUST)机构发布的一篇报告显示,医院及医疗系统中的数据泄露事故在2009到2012年期间有所下降,但执证医师个人开设的诊所在这方面则问题频传——其安全事故已经占据全部459起泄露案件中的六成以上。
这些泄露事故涉及受害者人数全部超过五百位,但HITRUST还发现仅今年五月就发生过约五万七千起涉及人数低于五百位的案件。
另据Ponemon研究所出具的调查,94%的医疗机构曾在过去两年中公布过至少一次数据泄露事故,45%的机构甚至公布过五次以上事故。
两份调查报告同时指出,造成泄露事件的最大原因并非黑客或者恶意软件,而是设备丢失或被盗以及员工的人为失误。HITRUST报告显示,只有8%的安全问题是由黑客及/或恶意软件所引发。
另外,几乎所有业务部门都开始察觉到智能手机在工作环境中的大规模泛滥。员工将自己的手机设备带入单位(也就是BYOD)已经成为日常生活的一种习惯。Ponemon研究所宣布,81%的受访者表示允许BYOD访问企业数据,而54%的受访者坦言自己并不了解这些移动设备是否安全。
上周HealthcareITNews报道称在Spyglass咨询集团组织的调查当中,“三分之二以上的受访医院发现护士们在工作中使用个人手机,并将其用于日常工作与临床信息沟通……但IT部门显然还没有为这些设备提供必要的安全支持。”
华盛顿邮报的Sarah Kliff最近在官方博客上撰写报道,指出医生与病人之间互发电子邮件交换个人信息的情况变得越来越普遍。
Art Gross在HIPAA Secure Now博客上指出,这意味着业界需要开始对智能手机抱以紧密关注。在一篇名为《你的智能手机将成为下一次数据泄露事故的罪魁祸首》的博文中,Gross总结了自己的观点。他认为医护工作者目前还没有意识到自己的行为已经把病人信息带入智能手机。
“智能手机已经被大量用于访问EMR(电子病历)、PACS(图片归档及通讯系统)以及各类表格及文档,并运行着数千种可能包含病人信息的应用程序,”他写道。
即使从业人员只利用智能手机收发邮件,风险也仍然无法避免。“在大多数医疗机构当中,邮件系统被作为通信工具使用,而且越来越多的邮件成为病人信息的载体,”他表示。“医疗机构经常通过邮件交流病人的检测结果、与患者沟通或者提供处方建议等。”
更可怕的是,就算邮件只被用于内部通信而完全不涉及病人,“所有邮件也会被保存在收件箱中,再由此被复制到手机端,”Gross解释道。
因此,一旦手机丢失或者被盗,病人数据自然就面临着泄露的危险。Ponemon研究所调查称,由数据泄露引发的事故每年给医疗保健行业带来近700亿美元的综合成本。
Gross指出,即使是规模极小的机构也应该限制在邮件中包含病人资料的行为,同时采用密码保护及长时间无操作自动退出等机制,并使用数据加密方案。
AppRiver公司高级安全分析师Troy Gill认为,如今的技术已经能够解决大多数设备的安全问题。“密码锁与远程数据清除功能是重中之重,而二者都可以通过微软ActiveSync、BES(黑莓Enterprise Server)以及第三方移动设备管理方案来实现,”他表示。
Gill还分享了另一种有效的防范手段:“企业应当在处理来自设备的网络访问时强制要求使用VPN(虚拟专用网络)连接。”
“再有,由于大多数刚刚出现的移动恶意软件都会随普通应用的安装一同侵入,因此企业可以考虑限制业务设备上的应用程序类型,”他建议道。
Accuvant实验室实践经理Chris Gray同样对远程数据清除功能推崇有加。“这项功能不仅可以防止数据丢失,更给管理者提供了一种备选方案,能够在出现设备丢失时避免严重事态甚至法律诉讼情况的发生。”
LogRhythm公司CTO Chris Petersen对于小型机构在安全漏洞及数据泄露方面的糟糕表现毫不惊讶。“许多小公司几乎没有一套像样的全职IT团队,也就是说没人在为安全问题操心,”他指出。“这些企业应该从服务供应商及经销商处寻求帮助,并根据建议使用价格合理且能够切实降低安全风险的技术及方案。”
但在真正搞定安全漏洞之前,在工作中使用个人设备还是太过危险。“对他们来说,强行禁止BYOD可能是最好的短期选择,”他无奈地解释道。
所有安全专家都认为智能手机的丢失与被盗情况将继续存在。“这种事情根本消灭不了,”Petersen告诉我们。“如果企业没有提前准备好必要的技术控制手段,那么个人信息的泄露将只是时间问题。”
Gray认为移动设备丢失不可避免,企业需要通过多层方案来解决这个问题,其中包括加密、远程数据清除并教育员工在设备丢失后第一时间向主管部门报告。
Gill对此表示赞同,并指出目前已经到了紧要关头。“就算从成本角度来看,事先准备一套数据保护策略也是很划算的。毕竟一旦设备丢失,造成的损失绝不只是几台手机那么简单。”