Dorong Untuk Rekam Medis Elektronik Harus Memperlambat, Demi Keamanan

Di antara banyak ketentuan baru Amerika Pemulihan dan Reinvestasi Undang-Undang (ARRA), adalah dana federal untuk catatan medis elektronik. Dikenal sebagai HITECH, undang-undang memberikan insentif kepada organisasi perawatan kesehatan untuk mendigitalkan informasi kesehatan pribadi sebelum 2020. Namun, hilang dalam terburu-buru, adalah rinciannya.

"Saya menantikan catatan medis yang akan elektronik," kata Howard Schmidt, mantan Gedung Putih cybersecurity tsar, "tapi saya memiliki banyak kekhawatiran tentang membangun infrastruktur kesehatan yang benar-benar baik … dan kemudian mengamankannya nanti." Schmidt berbicara dengan PCWorld di RSA 2009.

Undang-undang, yang juga memperbarui bagian-bagian dari HIPAA, memberikan Sekretaris Kesehatan dan Layanan Kemanusiaan hingga pertengahan Agustus untuk menentukan apa yang merupakan rekam medis elektronik. Dalam pandangan Schmidt, persyaratan awal harus dimulai dengan otentikasi dan enkripsi yang kuat, dan sejauh ini, Sekretaris telah melakukan hal itu. Mengutip standar NIST dan FIPS yang ada, panduan HHS termasuk data kesehatan saat istirahat, data bergerak, serta penghancuran yang tepat dari Informasi Kesehatan yang Dilindungi. Sayangnya, beberapa praktisi kesehatan telah mulai membeli sistem e-health sebelum standar lengkapnya diketahui.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Schmidt ingat bagaimana orang-orang menyalahkan Microsoft, di mana dia bekerja pada akhir 1990-an, karena menunda Windows Vista berkali-kali. "Kami akan mengkritik [Microsoft] jika mereka mengirim [Vista] dan itu memiliki lebih banyak masalah daripada yang sekarang. Jadi kami harus ingat bahwa memiliki jadwal waktu itu bagus," tetapi dia memperingatkan bahwa setiap jadwal juga harus memiliki beberapa batas built-in dan perlindungan. Yang saat ini tidak terjadi dengan HITECH, yang memberikan sebagian besar insentif keuangannya dalam beberapa tahun pertama.

Pada bulan Maret, Brian Chess dari Schmidt dan Fortify berbicara kepada Kongres tentang perlunya siklus hidup perangkat lunak yang aman. Proposal mereka menyerukan, antara lain, menciptakan posisi "Gate Keeper," seseorang dengan kekuatan untuk mengatakan jadwal proyek akan tergelincir jika produk tidak memenuhi persyaratan privasi atau keamanan tertentu ini.

HITECH tidak menyertakan undang-undang pemberitahuan pelanggaran data pertama negara, yang mengatakan semua penyedia layanan kesehatan, baik itu kantor dokter dua orang atau HMO besar, harus memberi tahu semua pasien yang terkena dampak dari pelanggaran atau risiko denda besar. Idenya adalah untuk mencegah penyedia layanan kesehatan dari hanya mengumpulkan uang insentif HITECH untuk "membangun sistem kesehatan yang sangat keren sehingga dokter dapat mengambil blackberry dan berkata 'Ya, Howard Schmidt. Ini data pasiennya.'" Mengenai hal ini pemerintah tampaknya setuju dengan Schmidt dan lebih suka melihat organisasi healtcare mendapatkan hak e-kesehatan sejak awal, meskipun mereka berbeda dalam hal untuk mencapai hal ini.

Schmidt mengatakan dia memiliki minat pribadi dalam e-health. Dia menghabiskan sekitar 300 hari setahun terbang dan bisa berada di Singapura, San Francisco, atau di mana saja ketika dia mungkin membutuhkan perawatan medis. "Mungkin aku pesawat di suatu tempat; aku tidak ingin mereka mengatakan 'Oh, tunggu. Di mana kita dapat menemukan rekam medis orang ini?' Saya ingin mereka dapat menariknya dengan metode yang benar-benar terautentikasi yang relevan dengan situasi yang saya hadapi. Ini dapat menyelamatkan hidup saya. "

Robert Vamosi adalah seorang analis risiko, penipuan, dan keamanan untuk Javelin Strategy & Riset dan penulis keamanan komputer independen yang mencakup peretas kriminal dan ancaman malware.