امنیت سیستم اطلاعات بیمارستانی(قسمت سوم)
SITH 2
SITH2 از بازخوردهای شرکت کنندگان SITH1 راهنمایی گرفتند تا بر روی چالش های عظیمی که در زمینه امنیت اطلاعات بیماران وجود دارد تمرکز کنند. این عزیزان قابلیت استفاده، نقص های موجود در داده های سیستم بهداشت و درمان، متدولوژی های کنترل دسترسی در سیستم های کلینیکی، سلامت سیار، حسابرسی های امن و سیاست ها، روش ها و تکنیک هایی که در زمینه امنیت و حریم خصوصی بهداشت و درمان وجود دارد را مد نظر قرار دادند.
دیوید بلومنتال، هماهنگ کننده ملی پیشین در زمینه فناوری اطلاعات در سلامت، نطق اصلی SITH2 را ارائه کرد که در آن چالش های فعلی منطبق شدن با EHR را مورد بحث قرار داد. ایشان فناوری اطلاعت را به عنوان یک راه حل کاربردی برای دریافت و پردازش اطلاعات بیمار، مبادله اطلاعات سلامت و بهبود تصمیمات در زمینه مراقبت معرفی کرد. بلومنتال به چند مورد از موانع موجود بر سر راه استفاده از EHR اشاره کرد از جمله نبود سرمایه کافی، بازگشت سود نامشخص، مقاومت پزشکان در استفاده از EHR و نبود کارکنان کافی در زمینه فناوری اطلاعات. او امنیت و حریم خصوصی را به عنوان پایه های اساسی برای پیاده سازی موفقیت آمیز EHR معرفی کرد و همچنین فعالیت های دولت فدرال در زمینه امینت حریم خصوصی را نیز مورد بازبینی قرار داد.
پنل 1 : قابلیت استفاده و نقص در داده های بهداشت و درمان
رئیس پنل اول، اریک جانسون اولین بحث را با این نکته شروع کرد که نقص های امنیتی در محیط بیمارستان از عدم موفقیت بکارگیری هم در زمینه سیستم ها و هم در زمینه پیاده سازی های امنیتی نتیجه میشود.
به علاوه، دشواری های موجود در زمینه استفاده از سیستم های الکترونیکی منجر به یک اپیدمی در دفاتر و کلینیک ها و ایجاد ریسک های اطلاعاتی و نقص در داده های بیماران خواهد شد. اعضای پنل بااعلام موافقت با این موارد هرکدام داستان هایی را در زمینه این راه حل ها تعریف کردند که شامل شنود پسووردها و به اشتراک گذاری اطلاعات بیمار با افزایش استفاده از راه حل های غیر امن مانند جی میل و دراپ باکس بود. یک ایده مشترک در میان اعضای پنل این بود که سیستم های امن واقعیت های موجود کارکردن در محیط بهداشت و درمان را در نظر نمیگیرند. پاول کانلی از شرکت بیمارستان های آمریکا هرکدام برای کاهشریسک پذیری و افزایش امنیت ، باید سیستم های امنی ساخته شود که به پزشکان کمک کند تا کارشان را به پایان برسانند. به طور مشخص، ما باید سیستم هایی با سرعت زیاد فناوری های جدید و استحکام زیاد بسازیم. با مطالعه راه حل ها و گردش کار های کنونی ، میتوانیم فناوری های امنی را توسعه دهیم تا از جریان کاری پزشکان پشتیبانی کند ودر یک راه حل انعطاف پذیر ، که اجازه میدهد اطلاعات در صورت نیاز انتقال یابند و یا فناوری ها تغییر کنند.
پنل 2 : کنترل دسترسی در سیستم های کلینیکی
چرا امنیت اطلاعات در بهداشت و درمان تفاوت های زیادی با مهندسی امنیت سنتی دارد؟ روز کوپل از دانشگاه پنسیلوانیا به دو مورد از مشکلاتی که باید مورد توجه قرار گیرد اشاره کرد: امنیت ، افراد را از دسترسی به اطلاعاتی که نباید دسترسی داشته باشند جلوگیری میکند که برای صنعت بهداشت و درمان حیاتی است. دیگر مشکلات از آنجا نتیجه میگیرد که تجارت بهداشت و درمان از دیگر تجارت ها متفاوت است. زمانی که مهندسین سیستم، سیستم های اطلاعاتی و سیاست های امنیتی را طراحی میکنند، موارد معمول را در نظر میگیرند در حالی که بسیاری موارد نامشخص و مبهم در زمینه پزشکی نسبت به سایر حوزه ها وجود دارد. و همچنین در حالی که مهندسین نرم افزار به اندازه کافی در پیاده سازی نیازمندی های کاربردی مشکل دارند، در زمینه پیاده سازی نیازمندی های قانونی مشکلات بیشتری وجود دارد، درحالی این نیروها آموزش لازم را ندیده اند.
آیا بوجود آوردن یک سری استانداردها برای رکورد کردن داده های بیمار امنیت و دسترسی به اطلاعات را بهبود میبخشد ؟ اعضای پنل تکرار کردند که وجود ابهام در داده های بهداشت و درمان بوجود آوردن این نوع استاندارها را به شدت سخت میکند. به علاوه، ارزش داده های سلامتی بیمار نرم افزار EHR را متفاوت میکند تا فروشندگان راه هایی را برای به اشتراک گذاشتن اطلاعات پیدا کنند.
صنعت بهداشت و درمان در زمینه فناوری اطلاعات هنوز به بلوغ نرسیده و در مواردی احتیاج دارد تا چند نسل را به طور یکجا طی کند تا به یک سیستم همه جانبه الکترونیکی برسد. به علاوه، صنعت باید این جهش های تکنولوژیکی را در حالی انجام دهد که از سیستم های قدیمی نیز پشتیبانی کند، به عنوان مثال پشتیبانی نکردن از رمزنگاری پایه ای، در حالی که صاحبان این سیستم ها با استفاده از لابی سیاست گذاران را بر علیه مقررات امنیتی سخت تر قرار میدهند. هزینه یکی دیگر از فاکتورهای بزرگ در تعیین امنیت داده های بیماران است: برای کاهش هزینه ها، سازمان ها اغلب باید از انتخاب هایی که از امنیت کم تری برخوردارند استفاده کنند.
پنل 3: سلامت سیار
رئیس پنل دیوید کوتز جلسه را با ارائه تعریفی از سلامت سیار شروع کرد: استفاده از پردازش سیار و فناوری های ارتباطی در تحویل اطلاعات درمانی و یا جمع آوری اطلاعات درمانی. در ادامه کوتز در مورد جنبه های دیگر سلامت سیار که از سایر پردازش های سیار صنعت تفاوت دارد بحث کرد: حساسیت ذاتی اطلاعات، حجم و اختلاف داده های جمع آوری شده و اثر شخصی و فوری که امنیت میتواند بر روی بیمار داشته باشد. اعضای پنل کوین فلو از دانشگاه ماساچوست، این نکته ها را تایید کرده با اشاره به این موضوع که هرچند که توانایی سیستم های بی سیم دستگاه ها را راحت تر و مورد استقبال تر میکند، آنها همچنین ریسک های امنیتی و حریم خصوصی را بیشتر میکنند. او اشاره کرد که بهبود امنیت برای دستگاه های پزشکی منجر به اختراعات و نوآوری ها در دستگاه های پزشکی میشود.
پنل 4: حسابرسی امن!!
در حال حاضر، نقص هایی که در سیستم EHR وجود دارد اغلب زمانی کشف میشوند که شکایتی مطرح شده و رکوردهای پزشکی برای جمع آوری مدارک مورد آزمایش قرار میگیرند. این روشی مناسب برای حل مشکلاتی مانند سرقت هویت در مقیاس بزرگ نیست. کارل گانتر توضیح داد: "امید ما این است از مدل واکنشی و به یک مدل فعال برویم تا به تهدید های در حال ظهور بهتر پاسخ داده شود." ریسک در هر دو: هم سرقت هویت در مقیاس بزرگ و هم نقص هایی در احراز هویت در مقیاس کوچک – به عنوان مثال، دسترسی به اطلاعات مشاهیر و یا آشناها –نیازی بوجود آورده است تا دسترسی به رکوردها به شدت کنترل شود. اینجاست که طرح مدیریت دسترسی بر اساس تجربه با ارزش میشود. EBAMبا یک چشم انداز ایده آل در زمینه سیاست های کنترل دسترسی بوجود آمد که چطور سیستم باید قفل شود. سپس این سیستم ایده آل را برای مقابله با محدودیت های دنیای واقعی اصلاح میکنیم. این یک فرایند ادواری است.به طور مدام این سیستم را اصلاح و بهبود میدهیم تا به یک تعادل میان حالت ایده آل و محدودیت هایی که در واقعیت تحمیل شده است برسیم. نکته کلیدی در مانیتور دسترسی ها شناسایی یک راه حل موثر برای استفاده ازحسابهای کاربری است تا با استفاده از آنها الگوهای متفاوت شناسایی شود و با استفاده از این الگوها قوانین را به اجرا در بیاوریم. کمبود استانداردها، مدل های قدیمی حسابهای کاربری، کمبود بیماران برای کمک به طراحی سیستم ها و چندیدن سیاست و موارد دیگر همگی موانعی برای گزارش حساب های کاربری حال حاظر میباشد. توسعه دهندگان در حال ساختن روش های کنترل دسترسی مانند EBAM، ابزارهای اطلاع رسانی بیماران، تکنیک های یادگیری ماشین برای شناسایی سو استفاده های احتمالی هستند.
پنل 5: سیاست ها و تکنیک ها در امنیت و حریم خصوصی فناوری اطلاعات در سلامت
با وجود مشکلات در ساختن سیستم های فناوری اطلاعت بهداشت و درمان و حفظ حریم خصوصی بیمار، چه ابزارهای سایست عمومی میتواند به بهترین شکل این صنعت را هدایت کند؟ دنیس آنتونی تبادل میان سیاست و روش های تکنیکی در مورد نظر درباره حریم خصوصی و امنیت مد نظر قرارداد، این نکته مهمی است که باید در نظر داشته باشیم که چگونه این تکنینک ها باهم تناقض دارند و چگونه یکدیگر را تکمیل میکنند. مطالعات آنتونی نشان داد که بیماران به اندازه ای که انتظار میرفت برای دسترسی به رکوردهایشان درخواستی نداشته اند. و با وجود قانون حفظ حریم خصوصی(HIPAA)و سیاست های حریم خصوصی مطرح شده توسط دولت، تامین کننده ها بیشتر توسط هنجارهای حرفه ای و تقاضاهای محیطی عمل میکنند تا قوانین. مارک ساچمن از دانشگاه براون این ایده را بیشتر گسترش داد. تحقیقات او نشان داد پیاده سازی سیاست ها و موفقیت آنها بستگی به محیط فرهنگی بیمارستان ها دارد.
Sith2 summary
تا سال 2012، استفاده از فناوری اطلاعات در بهداشت و درمان در ایالات متحده با در اختیار گذاشتن منابع برای حمایت از استفاده از فناوری اطلاعات در بیمارستان ها و توسط پزشکان توسط دولت آمریکا در نوسان کامل بود. زمانی که EHR و فناوری های سلامت سیار بیشتر مورد استفاده قرار گرفت، کارگاه SITH2 دانشمندان کامپیوتر، پزشکان، دانشمندان اجتماعی، تامین کنندگان، فروشندگان و افراد متخصص در زمینه سیاست گذاری را گرد هم آورد تا در مورد جنبه های تکنیکی و سیاست های حریم خصوصی و امنیت اطلاعات راه حل های الکترونیکی در زمینه بهداشت و درمان بحث کنند. شرکت کنندگان کارگاه نتیجه گرفتند که تامین کردن درمان با کیفیت بالا که توسط استفاده موثر از داده ها پشتیبانی شده در حالی که باید از اطلاعات بیماران محافظت شود نیاز به یک تفکر جدید دارد. ..... . هیچ استاندارد و قوانینی نمیتواند تمام نگرانی ها را در نظر بگیرد بنابراین چالش اصلی این است که همکاری ها را در میان تعداد وسیعی از ذینفعان ارتقا دهند تا بتوانند سیستم های فناوری اطلاعات را تولید کنند که بهترین درمان را در اختیار بیماران قرار دهد.