サイバーセキュリティー

サイバーセキュリティー


脆弱なヘルスケアシステムは、悪意のある行為の主な標的です。世界の医療ネットワークは、集中型データセンターにサイロとして存在しています。 これが業界全体にとって一つの障害となっています。

新しい医療提供者を訪れる際には医療提供者は患者に紙の質問状の記入させ、それを電子的に保管するために手動でコンピューターに記入、後にファイルに閉じるという作業が発生します。

ある人が生涯において20人の異なる医者、専門医、病院で診療を受けた場合、患者の健康記録は40部、そしてしばしば患者の財務情報(共同負担と保険)が共に存在することになり、またそれらの記録は患者が管理をすることは出来ません。

異なる医療提供者ごとに重複した記録を繰り返すことで、ハッカーのために巨大な攻撃面(エントリポイント)が形成されます。 個人データに対するセキュリティは、物理的またはデジタル的なレコードの連鎖における最も弱いリンクに限定されています。 問題の大きさを思い出させる事例では、一つのハードドライブの盗難によってそこに記録されていた100万件を超えるデーターが被害に遭いました[47]。それぞれの記録には、財政的利益を得るために患者として偽装するのに十分な情報が含まれていた可能性があります。

これが米国のHIPAAが該当する提供者と支払人との合田に情報に関するセキュリティに階層を作るように厳しいガイドラインを設ける理由です。いくつかの例があります:

  • 保管されている情報は暗号化されることが望ましい
  • 不正な侵入を防ぐためネットワークベースのアクセス制御が望ましい
  • データ転送(移動中のデータ)は暗号化されることが望ましい
  • 保管時および移動中のデータ保護に適用される変更は文書化されていることが望ましい。

コンプライアンス違反に対する罰金は、2010年にニューヨーク州Presbyterian病院とコロンビア大学メディカルセンターのケースでは480万$と高額なものでした[48]。 .
コンプライアンス違反をテストして修復するコストは、40,000ドル以上のコストがかかり、継続的なコンプライアンスを確保するためには毎年繰り返す必要があります。 罰金に加えて、一部の企業は、市場での評判を守るために記録が破られたすべてのメンバーに対して、盗難防止の措置を講じています[49]。

ネットワークを保護するための財政的負担によって、ネットワークはサイロに格納され、医療提供者が必要に応じて情報を受け渡しを行う能力を制限します。 これは抜本的なコ構造上の変更で修正してゆくしかないサイクルです。

この問題の一般的な解決策は、集中型ストレージまたはクラウドストレージに移行することです。 クラウドプロバイダーは、複雑なセキュリティソリューションを導入し、データを保護し、可用性を高めるための冗長データセンターを持ち、発電機のバックアップ、消火、冗長電源、UPSバッテリバックアップなど回復力を高める装備をしています。 これにより、最先端技術をより大きなデータセットに適用して、物理的なセキュリティリスクの大部分を軽減することができます。

集中型ストレージの問題は、最近のEquifaxデータ漏洩[49]で明らかになりました。 集中型ストレージには、名前、社会保障番号、生年月日、住所、場合によっては漏洩の影響を受ける145.5百万人の運転免許証番号が含まれていました。 209,000件で、クレジットカード番号も公開されました。

これを医療として考えると、Epic Systems Corporationは、そのソフトウェアが米国内の患者の54%(世界中で1億9000万人)の医療記録を保持していると言います。 これらの記録がますます集中化したクラウドストレージに移行するにつれ、攻撃ターゲットはサイバー攻撃者にとってより魅力的になります。 1つの管理者アカウントにアクセスすると、非常に有益なデータ保管庫にアクセスできます。

メディケアとメディケイドの払い戻しに対するCMS要件であるMeaningful Use Stage 3では、 患者が選択した患者のアプリを通じてEHRデータにアクセスするように医療提供者に要求することによって、レコードの複製にも貢献します。これは共有と革新を促進するためのものですが、結果として、患者が使用する新しいアプリケーションごとに保存される患者の健康情報のコピーが重複して攻撃面が増加します。