Premere per le cartelle cliniche elettroniche deve rallentare, per motivi di sicurezza

Tra le molte nuove disposizioni, l'American Recovery and Reinvestment Act (ARRA), è un finanziamento federale per le cartelle cliniche elettroniche. Conosciuta come HITECH, la legge dà incentivi alle organizzazioni sanitarie per digitalizzare le informazioni sulla salute personale prima del 2020. Perso nella fretta, tuttavia, sono i dettagli.

"Non vedo l'ora che le cartelle cliniche diventino elettroniche", ha detto Howard Schmidt, il primo Lo zar della sicurezza informatica della Casa Bianca, "ma ho un'enorme preoccupazione riguardo alla costruzione di un'infrastruttura sanitaria davvero buona, e poi la cercherò in seguito". Schmidt ha parlato con PCWorld alla RSA 2009.

La legge, che aggiorna anche le parti di HIPAA, offre al Segretario della Salute e dei Servizi Umani fino a metà agosto per definire ciò che costituisce una cartella clinica elettronica. Secondo Schmidt, i requisiti iniziali dovrebbero iniziare con una forte autenticazione e crittografia e, fino ad ora, il Segretario ha fatto proprio questo. Citando gli standard NIST e FIPS esistenti, le linee guida HHS includono dati sanitari a riposo, dati in movimento e la corretta distruzione delle informazioni sanitarie protette. Sfortunatamente, alcuni operatori sanitari hanno iniziato ad acquistare sistemi di e-health prima che sia noto il completo complemento degli standard.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Schmidt ha ricordato come la gente ha criticato Microsoft, dove ha lavorato alla fine degli anni '90, per ritardare molte volte Windows Vista. "Noi critichiamo [Microsoft] se spediscono [Vista] e ha avuto più problemi di adesso, quindi dobbiamo ricordare che avere un calendario è bello", ma ha avvertito che qualsiasi orario dovrebbe avere anche dei limiti predefiniti e salvaguardie. Al momento non è il caso di HITECH, che premia la maggior parte dei suoi incentivi finanziari entro i primi anni.

A marzo, Brian Chess di Schmidt e Fortify ha affrontato il Congresso sulla necessità di un ciclo di vita del software sicuro. La loro proposta richiedeva, tra le altre cose, di creare la posizione di "Gate Keeper", qualcuno con il potere di dire che l'orario di un progetto scivolerebbe se il prodotto non soddisfa questo particolare requisito di privacy o sicurezza.

HITECH include La prima legge nazionale di notifica di violazione delle informazioni, una che dice che tutti i fornitori di servizi sanitari, che si tratti di un medico di due persone o di un HMO di grandi dimensioni, devono notificare a tutti i pazienti interessati qualsiasi violazione o rischiare multe salate. L'idea è di evitare che gli operatori sanitari raccolgano semplicemente il denaro incentivante HITECH per "costruire un sistema sanitario davvero fico in modo che un medico possa raccogliere il suo moro e dire" Sì, Howard Schmidt. "Ecco i dati dei suoi pazienti." "Su questo il governo apparentemente concorda con Schmidt e preferirebbe vedere le organizzazioni di assistenza sanitaria ottenere l'e-health fin dall'inizio, sebbene differiscano sui mezzi per farlo.

Schmidt dice di avere un interesse personale per l'e-health. Trascorre circa 300 giorni all'anno in volo e potrebbe essere a Singapore, a San Francisco o dovunque potrebbe aver bisogno di cure mediche. "Forse sono un aereo da qualche parte, non voglio che dica 'Oh, aspetta, dove possiamo trovare la cartella clinica di questo ragazzo?' Voglio che siano in grado di tirarlo su in un metodo autenticato che è rilevante per la situazione in cui mi trovo. Potrebbe salvarmi la vita. "

Robert Vamosi è un analista di rischio, frode e sicurezza per Javelin Strategy & Ricerca e uno scrittore indipendente di sicurezza informatica che copre hacker criminali e minacce malware.