enero 18, 2019

Las contraseñas no deben ser visibles para el público

La privacidad de los datos del paciente está protegido por el Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA) y el 2009 Ley de Salud Clínica Tecnología de la Información para la Salud Económica y.¹ Sin embargo, entre los años 2010 y 2013 las violaciones de datos sierra que participen al menos 29.1 millón de registros de pacientes, y la transición continua en la asistencia sanitaria a los registros electrónicos de salud (EHR) es probable que aumente estas infracciones.¹

Un estudio reciente¹ analizadas todas las brechas en la información de salud informaron a la Oficina de Salud y Servicios Humanos de los Estados Unidos para los Derechos Humanos de 2010 a 2017 y encontraron que las violaciones aumentaron casi todos los años durante el período de estudio. Análisis de 2149 infracciones, que comprende un total de 176.4 millón de registros revelaron que, aunque el mayor número de incumplimientos involucrado planes de salud, las entidades con mayor frecuencia fueron infringidos los proveedores de salud.¹

El año 2017 fue el peor año para el general la seguridad cibernética incidentes, que duplicado desde 2016 en todas las industrias, según un informe de la Alianza de Confianza Online.² Y de acuerdo con el Identity Theft Resource Center, de 1579 brechas en 2017, casi una cuarta parte (23.7%) estaban en la asistencia sanitaria.³

Para arrojar luz sobre cuestiones de seguridad cibernética en las prácticas médicas, MPR habló a Michael J Sacopulos, JD, CEO de Instituto Médico de Riesgo (RM), una empresa que ofrece “consejo proactivo” para la comunidad sanitaria para identificar dónde se originan los riesgos de responsabilidad y para reducir o eliminar esos riesgos. También es Asesor General de Servicios de Justicia médicos. Sr. Sacopulos es el coautor de Tweets, Gustos, y Pasivos: Los riesgos en línea y electrónicos al profesional de la salud (Fénix, Maryland; Greenbranch Publishing: 2018).

¿Qué opinas de la mayor amenaza a la seguridad cibernética es en los médicos’ prácticas?

La gente suele pensar que la mayor protección contra la violación de datos es tener un buen, fuerte cortafuegos u otras características de seguridad técnicas o herramientas. Aunque, obviamente, esas son muy importantes, que tipo de seguridad no protege contra la vulnerabilidad principal de una práctica a una fuga de datos. Las mentiras amenaza real a nivel humano, en la práctica cómo los empleados manejan las tecnologías que contienen información sensible y paciente EHR. La mayoría de las violaciones no son a través de los errores de software o de configuración, pero por error humano.

¿Qué tipos de “errores humanos” estás hablando?

Empecemos con los fraudes de phishing. Aproximadamente la mitad de las violaciones de datos en todas las industrias son el resultado de una estafa de phishing. Correos electrónicos de phishing parecen bastante inocente, quizá proporcionar un cupón o un descuento o incluso una advertencia contra el fraude ostensible. Algunos pueden incluso contener un logotipo de aspecto legítimo, tal como el de un banco. Pero son un tipo de e-mail o ataque de ingeniería social, en la que el ciberdelincuente pide al lector para introducir información en un campo o en forma de página web, incluyendo ID de usuario y contraseña, y otra información personal como el número de tarjeta de crédito, habla a, y número de teléfono. Si uno de sus clics del personal en esto y rellena el formulario, el criminal cibernético ahora tiene acceso a su ID de usuario y contraseña, y luego puede conectarse de forma remota en su práctica o hospital de la red, acceder a sus datos y sistemas.

Estrechamente relacionado son correos electrónicos que contengan software malicioso (“Malware”) adjunto. Estos también pueden parecen provenir de compañías legítimas, tales como bancos o Amazon, advirtiendo que una factura está vencida o una cuenta está prevista para la suspensión. Al hacer clic en el enlace instala el software, que es muy destructivo para el sistema y la red.

Su personal tiene que aprender a reconocer las estafas de phishing y correos electrónicos de malware. Algunas pistas son líneas de asunto que incluyen términos como “Aviso Final,”Tienen mala gramática o faltas de ortografía o peculiar o estructura de la oración excesivamente formal,, pedirá que actualizar su información, o amenazar con graves consecuencias si no cumple.

El personal debe ser instruido para no abrir el correo electrónico o archivos adjuntos, llamar a cualquier número de teléfono en el correo electrónico, compartir ninguna de sus prácticas de (o personales) información. El e-mail no debe ser remitido a otros empleados ya sea.

Cada práctica médica debe tener un consultor de TI que debe ser notificado de estos correos electrónicos y decidir cómo manejarlos.

¿Qué otros tipos de errores humanos están ahí?

La mayoría de los dispositivos utilizados por los profesionales de la salud carecen de cualquier tipo de protección de seguridad, pero los dispositivos con la información del paciente - de sobremesa, ordenadores portátiles, dispositivos móviles, y tabletas - deben ser protegidos con contraseña.

Las contraseñas no deben ser visibles para el público. Hago seguridad y auditorías de privacidad en las prácticas médicas y es casi un lanzamiento de moneda si voy a encontrar la contraseña al ordenador en un poco de amarillo Post-it en el monitor, teclado o alguna otra en un radio de cerca de la computadora. Lo llamo “la seguridad de 3M,”Ya que es el nombre de la empresa que fabrica los post-it.

Las contraseñas no deben también ser obvio. Visité una práctica donde había dos contraseñas para toda la práctica: “Doctor” y “Nurse”. También, contraseñas deben cambiarse con regularidad.

Si tiene cifrado, seguridad, y funciones de datos al borrado remoto de los dispositivos de su consulta, si uno de sus dispositivos es robado, que será más difícil para los que pueden acceder sus datos.

¿Por qué le interesaría criminales cibernéticos en los registros médicos?

Los registros médicos son una mina de oro de información - no sólo la fecha de nacimiento y número de seguridad social, sino también información de terceros pagadores, donde se emplea la persona, cónyuge de la persona, Etcétera. Estos pueden ser usados ​​para presentar reclamaciones falsas o declaraciones de impuestos falsas. A veces la información se toma de la tabla y se utiliza para la extorsión - “a menos que usted nos paga, se dará a conocer tal y como información sobre su diagnóstico psiquiátrico o la orientación sexual.”En promedio, si se venden en el mercado negro, una lista de números de seguridad social podría vender por $2 por número. historias clínicas se venden por $85-$125. Es un orden completamente diferente de la magnitud y mucho más lucrativo.

¿Cómo puede aumentar su seguridad en una práctica?

Hay varios pasos importantes a seguir. Una de ellas es contratar a un experto profesional de TI para llevar a cabo un análisis anual de riesgos. También debe revisar periódicamente que en su práctica tiene acceso a qué tipo de información y eliminar aquellas que no necesitan acceso a los pacientes’ EHR. Tener políticas con respecto a sus empleados’ el uso de las redes sociales, correos electrónicos y el acceso.

¿Qué barreras prácticas están ahí para la aplicación de estas sugerencias?

Con frecuencia escucho los médicos me dicen que no tienen el tiempo o no tienen el dinero para poner en práctica estas sugerencias. Por ejemplo, que usted puede pensar No Eres economizar mediante la descarga de una lista de verificación en lugar de pagar un profesional de para realizar evaluaciones. Pero del mismo modo que no quiere que sus pacientes para diagnosticar a sí mismos en función de su investigación en Internet, que no debería estar tratando con estas áreas técnicas del mismo ciberseguridad.

Entiendo que muchos médicos tienen horarios muy envasados ​​y se ven abrumados, pero eso no es una razón suficiente para ignorar esta importante área, no sólo por razones legales - lo que significa una demanda potencial en el caso de una violación de datos - sino porque se trata de la seguridad del paciente, así.

Desafortunadamente, en mi experiencia, muchos médicos consideran la seguridad cibernética como meramente una cuestión de cumplimiento, tener que obedecer a una ley que no es importante. Pero hay cuestiones éticas y de seguridad de los pacientes, así. Un creciente cuerpo de investigación ha encontrado que un número significativo de pacientes no proporcionen información a su médico y una de las razones es que no tienen confianza en que el sistema médico va a mantener su información segura.

Esta es una situación extremadamente peligrosa y la excusa de ser ocupados pueden no contener agua. Una vez tuve un cirujano dime con gran irritación que si tuviera que introducir una contraseña cada vez que utiliza su ordenador, le frenaría. yo respondí, “Usted no correr en la calle, agarrar un bisturí, y realizar la cirugía sin tener que fregar abajo de antemano - a pesar de que se ralentiza. No garantizar a sus pacientes’ datos están protegidos es tan dañino de una práctica. Este es un problema de la seguridad del paciente “.

siga @DermAdvisor

referencias

1. McCoy TH, perlis RH. Las tendencias temporales y las características de las violaciones de datos de salud de notificación obligatoria, 2010-2017. JAMA. 2018;320(12):1282-1283.

2. Alianza Confianza Online. Disponible en: https://otalliance.org/news-events/press-releases/online-trust-alliance-reports-doubling-cyber-incidents-2017-0. Consultado: diciembre 13, 2018.

3. Centro de Recursos para el robo de identidad (ITRC). 2017 El incumplimiento anual de fin de año-Review. Disponible en: https://www.idtheftcenter.org/2017-data-breaches/. Consultado: diciembre 13, 2018.