Empuje los registros médicos electrónicos debe disminuir, por la seguridad

Entre las muchas nuevas disposiciones, la Ley de Reinversión y Recuperación de los Estados Unidos (ARRA) es la financiación federal de registros médicos electrónicos. Conocida como HITECH, la ley otorga incentivos a las organizaciones de salud para digitalizar la información personal de salud antes de 2020. Perdidos en la prisa, sin embargo, están los detalles.

"Espero que los registros médicos sean electrónicos", dijo Howard Schmidt, el primero El zar de ciberseguridad de la Casa Blanca, "pero tengo una tremenda cantidad de preocupación sobre la construcción de una muy buena infraestructura de salud … y luego asegurarla más tarde". Schmidt habló con PCWorld en RSA 2009.

La ley, que también actualiza partes de HIPAA, otorga al Secretario de Salud y Servicios Humanos hasta mediados de agosto para definir qué constituye un registro médico electrónico. En opinión de Schmidt, los requisitos iniciales deberían comenzar con una fuerte autenticación y encriptación, y hasta ahora, el Secretario ha hecho precisamente eso. Citando los estándares existentes de NIST y FIPS, la guía de HHS incluye datos de atención médica en reposo, datos en movimiento, así como la destrucción adecuada de la Información de salud protegida. Desafortunadamente, algunos profesionales de la salud han comenzado a comprar sistemas de salud electrónica antes de que se conozca el conjunto completo de estándares.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Schmidt recordó cómo las personas criticaron a Microsoft, donde trabajó a fines de la década de 1990, por demorar Windows Vista muchas veces. "Nosotros criticaríamos a [Microsoft] si nos enviaban [Vista] y tenía más problemas de los que tiene ahora. Así que tenemos que recordar que tener un horario es bueno", pero advirtió que cualquier horario también debería tener algunos límites incorporados. y salvaguardias. Ese no es el caso actualmente con HITECH, que otorga la mayor parte de sus incentivos financieros en los primeros años.

En marzo, Brian Chess de Schmidt y Fortify se dirigió al Congreso sobre la necesidad de un ciclo de vida de software seguro. Su propuesta requería, entre otras cosas, crear el puesto de "Guardián de la Puerta", alguien con el poder de decir que el cronograma de un proyecto se suspenderá si el producto no cumple con este requisito particular de privacidad o seguridad.

HITECH incluye el la primera ley de notificación de violación de datos de la nación, que dice que todos los proveedores de atención médica, ya sea una oficina de dos personas u HMO grande, deben notificar a todos los pacientes afectados de cualquier incumplimiento o arriesgarse a pagar grandes multas. La idea es evitar que los proveedores de salud simplemente cobren el incentivo de HITECH para "construir un sistema sanitario realmente genial para que un médico pueda recoger su blackberry y decir 'Sí, Howard Schmidt. Aquí están sus datos de pacientes'". Sobre esto aparentemente el gobierno está de acuerdo con Schmidt y preferiría que las organizaciones de salud pública obtuvieran la cibersalud desde el principio, aunque difieren en los medios para lograrlo.

Schmidt dice que tiene un interés personal en la cibersalud. Pasa aproximadamente 300 días al año volando y podría estar en Singapur, San Francisco o en cualquier otro lugar donde necesite atención médica. "Tal vez soy un avión en algún lugar, no quiero que digan 'Oh, espera. ¿Dónde podemos encontrar la historia clínica de este tipo?' Quiero que sean capaces de llevarlo a cabo con un método verdaderamente autenticado que sea relevante para la situación en la que estoy. Podría salvarme la vida ".

Robert Vamosi es un analista de riesgo, fraude y seguridad para Javelin Strategy & Investigación y un escritor de seguridad informática independiente que cubre hackers criminales y amenazas de malware.