| November 25, 2019 — 05:07 GMT (05:07 GMT)
| Ämne: Säkerhet
Mindre än 2 procent av Min hälsojournal rättegång användare som har valt ut
Institutionen för Hälsa och Australian Digital Health Agency (ADHA) är överens om att omkring 500 000 Australier kommer att välja ut av att ha en Min sjukdomshistorik. Läs mer: https://zd.net/2segsBw
Australian National Audit Office (ANAO) har pekat ut ett antal säkerhetsfrågor som rör Australiska Digital Health Agency ‘ s (ADHA) Min sjukdomshistorik genomförande, bland en rapport som i stor utsträckning gav ADHA den kryssa för “i stort sett effektiv”.
I sin rapport som släpptes på måndagen, ANAO påpekade att i ett 2016 end-to-end säkerhet översyn, ADHA beslutat mot ackreditering av dem som tillhandahåller tjänster till vårdgivare.
“ADHA avvisade denna rekommendation på grund av att det ‘presenterar flera utmaningar, bland annat den extra bördan för leverantörer och risken för skadat anseende,” ANAO sagt.
Ett år senare, en bedömning av informationssäkerhet som är Registrerade Bedömare Programmet (IRAP) sade överensstämmelse med den Australiska regeringens Information Security Manual (ISM) bör vara den lägsta acceptabla standard för att använda Min sjukdomshistorik. Denna bedömning tillämpas på programvara som används av vårdgivare, inklusive mobila appar.
Men ADHA inte göra detta, trots att det är som krävs av den Australiska Regeringen Skyddande Säkerhet Politiska Ramen, och lät istället leverantörer för att underteckna en anmälningsblankett.
“Beslutet att inte bedöma att bekräfta eller godkänna ISM efterlevnad av tredje parts programvara och system … begränsad ADHA försäkran över it-säkerhet risker för Min Hälsa Post system,” ANAO skrev.
“En ISM bedömning, certifiering och ackreditering strategi som skulle ge ett strikt system för ADHA att förstå och hantera it-risker från tredje part, men någon försäkran om processen måste balanseras mot incitamenten för att registrera och använda systemet.”
I rapporten noteras också att när ADHA genomfört en cyber bedömning, att det endast är inriktad på sig själv, och inte på Min sjukdomshistorik ekosystem.
“[ADHA] inte visas att fokusera på potentiella konsekvenser för leverantörer, hälso-och sjukvård mottagare. Delad risk bedömningar anses alla viktiga intressentgrupper — [den Nationella Infrastrukturen på väg], Tjänster Australien, programvara och mobila försäljare av hälso-och sjukvård mottagare — dock i första hand inriktad på konsekvenser för ADHA sig själv och den egna IKT-kontroller och behandlingar för att skydda grundläggande infrastruktur,” audit office sade.
ANAO sade ADHA behöver förbättra sin mekanism för att spåra IRAP rekommendationer, efter att hitta en 2017 bedömning finns 11 av 31 rekommendationer från 2015 och utvärdering inte genomförts, och en 2018 bedömning som avses vissa av 2017 bedömning men inte staten framsteg mot sina rekommendationer.
“Från juni 2019 [Nationell Infrastruktur som Operatören] förberett en Min sjukdomshistorik säkerhetsrisk registrera dig som dokumenterade 74 risker i en omfattande risk-ram, men att inte dokumentera alla föreslagna risk behandlingar, kontroller eller bedömning av effektiviteten i kontrollerna, bland annat för de 15” hög “och fem” mycket hög “risk”, står det i rapporten.
Trots detta, Min Hälsa Rekord var certifierade och ackrediterade av Department of Health 2013 och 2016, och genom att ADHA 2018.
I rapporten noteras att trots ADHA betala för fyra bedömningar av Office för den Australiska Information Commissioner (OAIC), inga utvärderingar har genomförts, men OAIC sa att det skulle vara avslutad under det här räkenskapsåret. Juni 26, ADHA sparkade på AU$2,1 miljoner för minst två bedömningar av OAIC.
Liknande siffror redovisas i September förra året, som 971,252 poster som skapas under Min sjukdomshistorik försöksperiod, bara 214 hade tillgång kontroller som, enligt rapporten den 30 juni, en post kod hade satts 27,215 gånger, eller 0,1% av register, och ett dokument kod hade satt bara 3,862 gånger.
Med användare som kan begränsa synligheten för deras skiva, en funktion som finns i Min sjukdomshistorik att låta hälso-och sjukvårdspersonal för att få tillgång till den kompletta posten i tider av nöd. Denna funktion används i 0,1% av posten har åtkomst till, eller 205 fall i Mars 2019, ANAO sagt. Men, det finns också endast 8,2% av de akuta åtkomst var på poster med tillträdeskontroll.
“ADHA inhämtade skriftliga svar från vårdgivare organisationer i förhållande till varje instans av larmtjänster och underhålls detaljerade register och analys av leverantör svar. I ett antal fall, ADHA inte få svar från viss vårdgivare organisationer,” enligt rapporten.
“I dessa fall ADHA inte kunde försäkra sig om att de omständigheter av larmtjänster inte utgjorde ett intrång i privatlivet. I andra fall, vissa av svaren anger en potentiell överträdelse av Lagen. Hittills ADHA har inte anmält Information Commissioner av någon av dessa instanser, och att de inte heller har vårdgivaren organisationer.”
I termer av när poster bort från Min sjukdomshistorik, ANAO sade permanent borttagning sker via en automatiserad process i två steg. För det första protokollet är inställt för att förhindra handlingar som förvaras mot det, och då inom 48 timmar, en post raderas från olika datalager.
Men bort poster som är lagrade på säkerhetskopior är inte så lägligt.
“Den information som tas bort från system för back-ups, men detta kan inte ske omedelbart: ADHA anges att “ta bort posterna tas bort från säkerhetskopian när en ny säkerhetskopia skapas vid regelbunden backup-cycle”,” ANAO sagt.
Trots att de inte gör en test av systemet, inte heller en teknisk översyn av det, ANAO gav radering fästingen.
“Den ANAO bedömde att de dokument som speglade en design som överensstämmer med de rättsliga krav för att permanent ta bort kliniska data och dokument,” det sagt.
Trots de it-frågor som uppstått, ANAO gav systemet en bock generellt.
“Genomförandet av Min Hälsa-Posten har i stort sett effektiv,” enligt rapporten.
“Risker relaterade till integritet och IT-infrastruktur till stor del var väl lyckats, men förvaltning av gemensamma it-säkerhet risker inte var lämpligt och bör förbättras.”
ANAO gjort fyra rekommendationer ADHA, som det kommit överens om att alla. Den första är att genomföra en end-to-end integritet bedömning av Min sjukdomshistorik, att ADHA, Institutionen för Hälsa, och OAIC granska larmtjänster funktion och meddela OAIC av potentiella och faktiska integritet överträdelser. ADHA att skapa en försäkran ramen för programvara från tredje part, och för ADHA att utveckla och genomföra ett program för utvärdering plan för Min Hälsa Post.
För sin del ADHA hakade på soft touch av ANAO.
“Den ANAO är slutsatsen att genomförandet av Min Hälsa Spela in i stort sett var effektivt och att planering, styrning och kommunikation var lämpligt kommer att förse samhället med ett viktigt perspektiv på kompetens hos den offentliga sektorn för att genomföra ett system av denna storlek och karaktär,” byrån sade.
I September, med rysslands röst sade nästan alla offentliga vårdgivare i patologi och diagnostisk avbildning använda den elektroniska patientjournalsystem, med över 850,000 diagnostiska rapporter varje vecka efter att ha laddats upp till Min sjukdomshistorik.
“Betydande framsteg har gjorts i anslutning patologi och diagnostisk avbildning leverantörer till Min sjukdomshistorik,” ADHA sade på den tiden.
“Nästan alla offentliga leverantörer finns redan att ladda upp och antalet privata vårdgivare att registrera sig och ladda upp i allt snabbare takt.”
Privata vårdgivare har konsekvent varit på toppen av de Anmälningspliktiga dataintrång kvartalsrapport från OAIC.
Tidigare denna månad, ADHA, sade i sin årliga rapport fanns det 38 ärenden redovisade till OAIC under året om eventuell obehörig åtkomst, säkerhet, integritet eller överträdelser.
37 av dessa frågor skulle räknas som brott, och ADHA sa att de flesta var resultatet av administrativa fel såsom “sammanflätade” Medicare poster eller bearbetning fel när du skapar nya poster för spädbarn.
Tre inblandade obehörig tillgång till en individs Min sjukdomshistorik.
Från och med den 30 juni 2019, det var 22.55 miljoner aktiva poster i Min Hälso-Post system. Totalt 1,74 miljoner människor nås för att spela in via den nationella konsument portal och en totalt 493 miljoner dokument laddas upp till Min Hälso-Post system.
På tal under Senaten Uppskattningar förra månaden, ADHA företrädare sade att det hade varit 23,528 poster annulleras sedan den 22 februari 2019, på samma gång, 22,129 människor har valt att ge tillbaka.
Relaterade Täckning
ADHA att se underliggande infrastruktur av Australiens hälso-och sjukvårdstjänster
Den myndighet som har sina ögon på en framtid som innehåller AI, blockchain, och sakernas internet.
Den ADHA är att förenkla sin kliniska termbank med AWS
Nationell Klinisk Terminologi Tjänsten har varit omskriven för att minska komplexitet och kostnader.
Kan blockchain vara svaret för Australiens digitala patientjournaler?
Med integritet och säkerhet gäller fortfarande plågar Min sjukdomshistorik, Gartner kolleger och vice ORDFÖRANDEN David Furlonger funderar en framtid där blockchain faktiskt kunde hjälpa.
Min Hälsa Record “brott” mestadels fastställande stämmer Medicare poster
Brotten var främst resultatet av dataintegritet aktivitet initieras av Tjänster Australien för att identifiera sammanflätade Medicare poster, snarare än att obehörig åtkomst för brottsliga verksamhet.
Över 30 000 Australier in Min Hälsa Spela in på under två månader
30,402 enskilda poster blev inställda i drygt sju veckor.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
| November 25, 2019 — 05:07 GMT (05:07 GMT)
| Ämne: Säkerhet