Yeni bir rapora göre, elektronik sağlık kayıt sistemlerinden hasta verilerini çeken üçüncü taraf sağlık uygulamaları saldırılara karşı savunmasız. Sağlık merkezlerinde bulunan ve federal gizlilik yasası HIPAA’ya tabi olan elektronik sağlık kayıtları iyi korunmaktadır. Ancak bir hasta, verilerinin sağlık kaydından çıkmasına ve üçüncü taraf bir uygulamaya (örneğin, insanların ilaçlarını izleyen programlar gibi) yönelmesine izin verir vermez, bilgisayar korsanlarının erişmesi kolaydır.
Hastaneler ve sağlık sistemleri, bilgisayar korsanları için büyük bir hedeftir ve saldırılar yalnızca son birkaç yılda arttı. Hasta sağlığı verileri, bilgisayar korsanları için en değerli bilgilerden bazılarıdır: kısmen kolayca değiştirilemedikleri ve verilerin hileli olarak kullanıldığında tespit edilmesi daha zor olduğu için, her bir kayıt dark web’de yüzlerce dolar değerinde olabilir. Kredi kartı numaraları ise kolaylıkla değiştirilebilir ve sadece birkaç dolar değerindedir.
Uygulama güvenliği şirketi Approov tarafından desteklenen bu yeni rapor için, siber güvenlik analisti Alissa Knight, sağlık hizmetlerinde bilgi alışverişini teşvik etmek için kurulan Hızlı Sağlık Birlikte Çalışabilirlik Kaynakları (FHIR) standardı kullanılarak oluşturulan uygulamalardaki güvenlik açıklarını kontrol etti. Elektronik sağlık kayıtlarında yerleşik uygulamaları kontrol ederek başladı ve zayıf noktalar bulamadı. Ancak verileri çıkarmak için sağlık kayıtlarıyla bağlantı kuran üçüncü taraf programlarını test ettiğinde büyük sorunlar buldu. Knight, bu delikler aracılığıyla 25.000’den fazla sağlayıcıdan 4 milyondan fazla hasta ve klinisyen kaydına erişebildi.
Bir birlikte çalışabilirlik uzmanı ve FHIR yönetim grubu üyesi John Moehrke, STAT News’e “Gelişmiş siber güvenlik korsanlığını kullanmasına gerek yoktu” dedi. “Siber güvenlikte birinci yılınızın vurgulayacağı temel bilgileri kullandı.”
Üçüncü taraf uygulamalar ve veri toplayıcılar sağlık hizmetleri için önemlidir – sağlık kayıtlarını daha erişilebilir biçimlere çekerek doktorlara ve hastalara yardımcı olurlar. veya farklı randevulardan gelen bilgileri tek bir yerde toplarlar. Sağlık ve İnsan Hizmetleri Departmanı, sağlık sistemlerini birbirleriyle elektronik olarak konuşabilmelerini sağlamaya teşvik eden kurallara sahiptir – insanların kendi sağlık bilgilerine erişmelerine yardımcı olmak ve doktorların bakımı koordine etmesine yardımcı olmak önemlidir.
Ancak bu uygulamalarda daha fazla özen ve güvenlik olması gerekiyor, diye yazıyor Knight raporda. Veriler bir sağlık kaydından çıkıp bir üçüncü taraf uygulamasına girdiğinde, HIPAA kapsamında değildir, bu nedenle HIPAA’nın veri koruma veya verilerine erişildiğinde kişilerin nasıl bilgilendirileceği konusundaki standartlarına tabi değildir. Federal Ticaret Komisyonu kısa süre önce üçüncü taraf uygulamaların kullanıcıları veri ihlalleri hakkında bilgilendirmesi gerektiğini açıkladı, ancak komisyon bu uygulamalar için ek gizlilik veya güvenlik düzenlemeleri ekleyemez.
Yeni raporda, “Hastaları ve kullandıkları uygulamaları korumak için ayrı bir gözetim mekanizması olması gerekiyor” önerisinde bulundu.