Tryck för elektroniska journaler måste sakta ner för säkerhetens sak

Bland de många nya bestämmelserna är American Recovery and Reinvestment Act (ARRA) federal finansiering för elektroniska journaler. Känd som HITECH ger lagen till incitament för hälsovårdsorganisationer att digitalisera personlig hälsoinformation före 2020. Förlorad i rushen är dock detaljerna. "Jag ser fram emot att läkarregister går elektroniskt", säger Howard Schmidt, den tidigare White House cybersecurity czar ", men jag har en enorm oro för att bygga en riktigt bra infrastruktur för hälsoinfrastruktur … och sedan säkra den senare." Schmidt talade med PCWorld på RSA 2009.

Lagen, som även uppdaterar delar av HIPAA, ger hälso- och sjukvårdssekreteraren till mitten av augusti för att definiera vad som utgör en elektronisk medicinsk post. Enligt Schmidts uppfattning bör initiala krav börja med stark autentisering och kryptering, och hittills har sekreteraren just gjort det. Med hänvisning till befintliga NIST- och FIPS-standarder innehåller HHS-vägledning hälsovårdsdata i vila, data i rörelse samt korrekt destruktion av skyddad hälsoinformation. Tyvärr har vissa vårdpraktiker börjat köpa e-hälsovårdssystem innan det fullständiga komplementet är känt.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Schmidt erinrade om hur människor fel på Microsoft, där han arbetade i slutet av 1990-talet för att försena Windows Vista många gånger. "Vi skulle kritisera [Microsoft] om de skickade [Vista] och det hade fler problem än det gör nu. Så vi måste komma ihåg att det är trevligt att ha en tidtabell" men han varnade för att eventuella tidsplaner också skulle ha några inbyggda gränser och skyddsåtgärder. Det är för närvarande inte fallet med HITECH, som tilldelar huvuddelen av sina ekonomiska incitament inom de första åren.

I mars riktade Schmidt och Fortify's Brian Chess kongressen om behovet av en säker mjukvaru livscykel. Deras förslag krävde bland annat att skapa "Gate Keeper" -position. En person som har befogenhet att säga att ett projektets tidtabell kommer att glida om produkten inte uppfyller detta särskilda krav på integritet eller säkerhet.

HITECH inkluderar även nationens första lag om uppgiftsbrott, en som säger att alla vårdgivare, det vill säga ett tvåpersoners läkarmottagning eller stor HMO, måste informera alla drabbade patienter om eventuella brott eller riskera stora böter. Tanken är att förhindra att vårdgivare enkelt samlar in HITECH-incitamentspengarna för att "bygga ett riktigt coolt hälsovårdssystem så att en läkare kan hämta sin björnbär och säga" Ja, Howard Schmidt. Här är hans patientdata ". håller med Schmidt och vill hellre se att hälso- och sjukvårdsorganisationerna kommer från e-hälsa redan från början, även om de skiljer sig från hur man gör det.

Schmidt säger att han har ett personligt intresse för e-hälsa. Han spenderar ungefär 300 dagar om året och kan vara i Singapore, San Francisco, eller någonstans när han kanske behöver läkarvård. "Kanske är jag ett plan någonstans, jag vill inte att de ska säga" Åh, vänta. Var hittar vi den här killen? " Jag vill att de ska kunna dra upp det i en riktigt autentiserad metod som är relevant för situationen jag är inne. Det kan rädda mitt liv. "

Robert Vamosi är en risk-, bedrägeri- och säkerhetsanalytiker för Javelin Strategy & Forskning och en oberoende datasäkerhetsförfattare som täcker brottsliga hackare och malware hot.