janeiro 18, 2019

As senhas não devem ser visíveis ao público

A privacidade dos dados do paciente é protegido pela Health Insurance Portability e Accountability Act (HIPAA) e a 2009 Saúde Tecnologia da Informação para Económico e Lei de Saúde Clínica.¹ Contudo, os anos entre 2010 e 2013 violações de dados serra envolvendo pelo menos 29.1 milhão de registros de pacientes, ea transição contínua na área da saúde para registos de saúde electrónicos (EHRs) é susceptível de aumentar essas violações.¹

Um estudo recente¹ analisadas todas as violações em informações de saúde comunicada ao Escritório de Saúde dos EUA e Serviços Humanos para os Direitos Humanos da 2010 para 2017 e descobriram que as violações aumentaram quase todos os anos durante o período de estudo. Análise de 2149 violações, compreendendo um total de 176.4 milhões de registros revelou que, embora o maior número de violações envolveu planos de saúde, as entidades mais comumente violados foram os profissionais de saúde.¹

O ano 2017 foi o pior ano de sempre para geral cíber segurança incidentes, que dobrou desde 2016 em todos os setores, de acordo com um relatório da Online Trust Alliance.² E de acordo com o Identity Theft Resource Centre, de 1579 violações em 2017, quase um quarto (23.7%) foram na área da saúde.³

Para lançar luz sobre questões de segurança cibernética em práticas médicas, MPR falou com Michael J Sacopulos, JD, CEO do Instituto de risco médico (MRI), uma empresa que fornece “conselho pró-ativa” para a saúde da comunidade para identificar onde os riscos de responsabilidade originar e para reduzir ou eliminar esses riscos. Ele também é Conselheiro Geral para médicos Serviços de Justiça. Sr. Sacopulos é co-autor de tweets, gostos, e Passivos: Riscos online e electrónica ao Profissional de Saúde (Fénix, MD; Greenbranch Publishing: 2018).

O que você acha a maior ameaça é a segurança cibernética em médicos’ práticas?

As pessoas muitas vezes pensam que a maior proteção contra violação de dados é ter um bom, forte firewall ou outras características técnicas de segurança ou ferramentas. Embora, obviamente, aqueles que são muito importantes, que tipo de segurança não protege contra a vulnerabilidade principal de uma prática de uma violação de dados. As mentiras ameaça real a um nível humano, em como os funcionários de prática lidar com as tecnologias que contêm as informações do paciente sensível e EHRs. A maioria das violações não são através de erros de software ou configuração, mas por erro humano.

Que tipos de “erros humanos” você está falando?

Vamos começar com golpes de phishing. Cerca de metade das violações de dados em todas as indústrias são o resultado de um esquema de phishing. Phishing e-mails parecem bastante inocente, talvez oferecendo um cupom ou oferecendo um desconto ou mesmo advertindo contra uma fraude ostensiva. Alguns podem até conter um logotipo de aparência legítima, tal como a de um banco. Mas eles são um tipo de e-mail ou ataque de engenharia social, em que o criminoso cibernético pede ao leitor para inserir informações em um campo site ou formulário, incluindo ID de usuário e senha, e outras informações pessoais, como número de cartão de crédito, endereço, e número de telefone. Se um de seus cliques pessoal sobre isso e preenche o formulário, o criminoso cibernético agora tem acesso ao seu ID de usuário e senha, e pode então entrar remotamente em sua prática ou hospital da rede, ter acesso aos seus dados e sistemas.

Intimamente relacionados são e-mails que contêm software malicioso (“Malware”) em anexo. Estes também podem parecem vir de empresas legítimas, tais como bancos ou Amazon, alertando que a conta está vencida ou uma conta está programado para suspensão. Clicando na ligação instala o software, que é muito destrutivo para o seu sistema e sua rede.

Sua equipe precisa aprender a reconhecer esquemas de phishing e e-mails de malware. Algumas pistas são linhas de assunto que incluem termos como “Observação final,”Tem má gramática ou erros de ortografia ou peculiar ou estrutura excessivamente formal de sentença, pedir-lhe para atualizar suas informações, ou ameaçá-lo com consequências terríveis se você não cumprir.

A equipe precisa de ser instruídos a não abrir o e-mail ou anexos, chamar os números de telefone no e-mail, compartilhar algumas de suas práticas de (ou pessoal) em formação. O e-mail não deve ser encaminhado para outros empregados, quer.

Cada prática médica deve ter um consultor de TI que deve ser notificado sobre esses e-mails e decidir como lidar com eles.

Que outros tipos de erros humanos estão lá?

A maioria dos dispositivos usados ​​por profissionais de saúde não têm qualquer tipo de proteção de segurança, mas os dispositivos com as informações do paciente - desktops, laptops, dispositivos móveis, e tablets - deve ser protegido por senha.

As senhas não devem ser visíveis ao público. Eu faço de segurança e auditorias de privacidade em práticas médicas e é quase um sorteio se vou encontrar a senha para o computador em um pouco amarelo post-it no monitor, teclado ou alguma outra vizinhança perto do computador. Eu chamo-lhe “segurança 3M,” since that’s the name of the company that manufactures Post-its.

Passwords should also not be obvious. I visited one practice where there were two passwords for the whole practice: “Doctor” and “Nurse.” Also, passwords should be changed regularly.

If you have encryption, security, and remote data-wiping features on your practice’s devices, if one of your devices is stolen, it will be harder for your data to be accessed.

Why would cyber criminals be interested in medical records?

Medical records are a gold mine of information — not only date of birth and social security number but also third-party payer information, where the person is employed, the person’s spouse, and so forth. These can be used to file false claims or fake tax returns. Sometimes information is taken from the chart and used for extortion — “unless you pay us, we will release such-and-such information about your psychiatric diagnosis or sexual orientation.” On average, if sold on the black market, a list of social security numbers might sell for $2 per number. Medical charts sell for $85-$125. It’s an entirely different order of magnitude and much more lucrative.

Como uma prática pode aumentar sua segurança?

There are several important steps to take. One is to engage a professional IT expert to conduct an annual risk analysis. You should also regularly review who in your practice has access to which type of information and remove those who do not need to access patients’ EHRs. Have policies in place regarding your employees’ use of social media, e-mails and access.

What practical barriers are there to implementing these suggestions?

I frequently hear doctors tell me that they don’t have the time or they don’t have the money to implement these suggestions. Por exemplo, you may think you’re economizing by downloading a checklist rather than paying an IT professional to conduct assessments. But just as you wouldn’t want your patients to diagnose themselves based on their Internet research, you shouldn’t be dealing with these technical areas of cybersecurity yourself.

I understand that many doctors have very packed schedules and are overwhelmed, but that isn’t a good enough reason to ignore this important area, not only for legal reasons — meaning a potential lawsuit in the event of a data breach — but because it concerns patient safety as well.

Unfortunately, in my experience, many doctors regard cybersecurity as merely a compliance issue, having to obey a law that’s not important. But there are ethical and patient safety issues as well. A growing body of research has found that a significant number of patients withhold information from their physician and one reason is that they don’t have confidence that the medical system will keep their information secure.

This is an extremely dangerous situation and the excuse of being busy cannot hold water. I once had a surgeon tell me with great irritation that if he needed to enter a password every time he used his computer, it would slow him down. I responded, “You wouldn’t run in off the street, grab a scalpel, and perform surgery without scrubbing down beforehand — even though it slows you down. Not ensuring your patients’ data is protected is just as harmful of a practice. This is a patient safety issue.”

siga @DermAdvisor

Referências

1. McCoy TH, Perlis RH. Tendências temporais e características das violações de dados de saúde reportáveis, 2010-2017. JAMA. 2018;320(12):1282-1283.

2. Online Trust Alliance. Disponível em: https://otalliance.org/news-events/press-releases/online-trust-alliance-reports-doubling-cyber-incidents-2017-0. acessado: dezembro 13, 2018.

3. Identity Theft Resource Center (ITRC). 2017 Annual Breach Year-End Review. Disponível em: https://www.idtheftcenter.org/2017-data-breaches/. acessado: dezembro 13, 2018.