现在医疗行业正面临着一些重大挑战:数据保护问题。在华盛顿特区的医院和诊所网站最近被迫下线,因MedStar员工使用图表记录数据时电脑系统被黑客攻击。此前TechRepublic报道,110亿美国人的健康数据在2015年受到黑客攻击。IoT连接医疗设备构成了特殊的挑战,因为这是在医疗领域一项新的尝试。
我们咨询了Joho Braco (安全软件制造商ForgeRock产品副总裁)、Sven Junkergard(Zephyr Health and Lidia Fonseca的CTO)和Quest Diagnostics的CIO有关处理用户健康数据时最好的安全建议。
以下是一些建议:
权衡收集数据的成本和对用户的潜在益处
“数据收集在整个设计过程中应该遵循相同的准则,”Junkergard说。“平时有很多收集数据的原因,但是当有一天结束的时候,如果这些数据不知如何与对病人益处联系起来,你会问自己当初为何会收集这些数据。以病人为中心的准则其实是最好的。”
了解用户模式,当有可疑行动时安全措施到位
“简单的身份验证和已授权的用户已经不在足够安全了,”Barco称。“医疗组织机构应该寻找能够安全连接用户、事物和云服务的技术。它不仅仅是一种凭证;而是一种安全环境。现采用文本编码、邮件、安全问题或者生物识别验证用户身份的合法性和设置访问权限。如发现可疑行动,例如,一个用户从受保护的医院网络上转移到未受保护的附近咖啡店网络上时,你能够进一步身份验证或授权。”
对于改变要积极主动和提前准备
Junkergard给两个安全管理建议:
- 确保数据端到端安全管理。运用固有的数据传输安全协议和无须任何数据安全防范的日子已经远去。对于每一步,确认什么是必要的和适当的。它会带来不同的影响。
- 当你周围环境变化时要准备好改变。遵循要求与标准很可能会延续一个设备的整个生命周期。
超出HIPAA的注意安全实践
“有关有一些病人的隐私今天也被定义且标准实践中,例如HIPAA的一些相关要求”Junkergard称。“在其他领域,通过定义标准的需求,才能进行数据访问与病人隐私。如果这样的设计不是现有的一部分,我深信在这个过程之前引进合适的专业知识。当涉及任何安全隐私时要主动而不是被动的,因为涉及支付高额的红利。”
用户可以控制谁可以访问他们数据,用时多久与在什么样的状态下访问
传统来说,医学界暂时还没有让病人很快的获得自己的健康记录,但是Barco称IoT设备需要改变。“最终用户或病人同意才是至关重要的。医疗保健提供者需要寻找技术保证给用户管理访问他们健康数据的权限,”他说。“例如,考虑所有周围家庭病人保健的数据关系,访问病人数据的数量如慢性阻塞性肺病病人数据补丁、心脏监测系统等等…不是每个人需要访问相同的数据。一位看护者可能只需要一个月访问一次且医生可以下载数据。第三方想要访问数据时,病人有权限决定是否授权给予访问。因为该数据时个人的,无论是谁访问时应该有身份验证,这样才能确保更加安全。”
使用好的安全理念是创新的起点
如果你有任何的医学实验工作,Quest Diagnostics应该听说过。他们每天收集500000个样本测试。他们不涉及IoT空间,但仅从实验室测试提供者成为数据分析公司。Quest的信息学分支主要用于识别实验室测试结果,且公司与Inovalon合作为医生创建决策软件,称之为数据诊断,该软件基于从实验室测试结果中的大量数据集。“我们开始分析很大程度上是建立在我们已有的能力和数据安全协议上,”Fonseca说。“良好的数据安全程序:是否为移动设备或者其他平台,促进适应技术灵活性。”
英文来源:IoT and health data: 6 security best practices
作者:Amy Talbott
译者:屠敏 审校:周建丁
453
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
