Push voor elektronische medische dossiers moet worden vertraagd, uit veiligheidsoverwegingen

Een van de vele nieuwe bepalingen van de Amerikaanse wet Herstel en Reiniging (ARRA) is federale financiering voor elektronische medische dossiers. Bekend als HITECH, geeft de wet prikkels aan gezondheidsorganisaties om persoonlijke gezondheidsinformatie vóór 2020 te digitaliseren. Verloren in de haast, zijn echter de details. "Ik kijk uit naar medische gegevens die elektronisch gaan," zei Howard Schmidt, de voormalige Cybersecurity-tsaar van het Witte Huis, "maar ik maak me enorme zorgen over het bouwen van een heel, heel goede infrastructuur voor de gezondheidszorg … en die later veilig te stellen." Schmidt sprak met PCWorld op RSA 2009.

De wet, die ook delen van HIPAA bijwerkt, geeft de minister van Volksgezondheid en Human Services tot medio augustus de tijd om te definiëren wat een elektronisch medisch dossier is. Volgens Schmidt moeten de eerste vereisten beginnen met krachtige authenticatie en encryptie, en tot nu toe heeft de secretaris precies dat gedaan. Onder verwijzing naar de bestaande NIST- en FIPS-normen omvat de HHS-begeleiding gegevens over de gezondheidszorg in rust, gegevens in beweging en de juiste vernietiging van beschermde gezondheidsinformatie. Helaas zijn sommige zorgverleners begonnen met het kopen van e-health-systemen voordat de volledige reeks normen bekend is.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Schmidt herinnerde zich hoe mensen Microsoft verweten hebben, waar hij werkte in de late jaren 1990, voor het vele malen vertragen van Windows Vista. "We zouden [Microsoft] bekritiseren als ze [Vista] zouden verzenden en het had meer problemen dan nu het geval is. Dus we moeten niet vergeten dat het hebben van een tijdschema leuk is," maar hij waarschuwde dat elk tijdschema ook enkele ingebouwde limieten zou moeten hebben en beveiligingen. Dat is momenteel niet het geval met HITECH, dat de meeste van zijn financiële prikkels binnen de eerste paar jaar toekent.

In maart spraken Schmidt en Fortify's Brian Chess het Congres over de noodzaak van een veilige softwarelevenscyclus. Hun voorstel vereiste onder meer het creëren van de positie van 'Gate Keeper', iemand met de macht om te zeggen dat het tijdschema van een project zal verdwijnen als het product niet voldoet aan deze specifieke privacy- of beveiligingsvereiste.

HITECH omvat de natie's eerste wet op het melden van inbreuk op gegevens, een wet die zegt dat alle zorgaanbieders, of het nu een tweevoudig artsenbureau of een grote HMO is, alle betrokken patiënten op de hoogte moeten brengen van een overtreding of grote boetes riskeren. Het idee is om te voorkomen dat zorgaanbieders simpelweg het HITECH-stimuleringsgeld verzamelen om "een echt cool gezondheidszorgsysteem te bouwen, zodat een arts zijn Blackberry kan oppikken en zeggen:" Ja, Howard Schmidt. Hier zijn patiëntgegevens. " is het eens met Schmidt en ziet liever dat zorginstellingen van bij het begin e-health krijgen, hoewel ze verschillen op de manier om dit te bereiken. Schmidt zegt dat hij een persoonlijke interesse in e-health heeft. Hij brengt ongeveer 300 dagen per jaar door met vliegen en kan zich in Singapore, San Francisco of waar dan ook bevinden, wanneer hij medische hulp nodig heeft. "Misschien ben ik ergens een vliegtuig, ik wil niet dat ze zeggen:" O, wacht, waar kunnen we het medische dossier van deze man vinden? " Ik wil dat ze het kunnen opstellen in een echt geauthenticeerde methode die relevant is voor de situatie waarin ik me bevind. Het kan mijn leven redden. "

Robert Vamosi is een risico-, fraude- en beveiligingsanalist voor Javelin Strategy & Onderzoek en een onafhankelijke schrijver van computerbeveiliging voor criminele hackers en malwarebedreigingen.