| November 25, 2019 — 05:07 GMT (05:07 GMT)
| Emne: Sikkerhed
Mindre end 2 procent af Min vandrejournal forsøg brugere fravalgt
Ministeriet for Sundhed og Australske Digital Sundhed Agentur (ADHA) er enig i, at omkring 500.000 Australierne vil fravælge at have en Min vandrejournal. Læs mere: https://zd.net/2segsBw
Australian National Audit Office (ANAO) har påpeget en række sikkerhedsspørgsmål vedrørende den Australske Digital Sundhed Agency ‘ s (ADHA) Min vandrejournal gennemførelsen, blandt en rapport, der i høj grad gav ADHA kryds som “i høj grad effektiv”.
I sin rapport udgivet på mandag, ANAO påpegede, at der i 2016 end-to-end security review, ADHA besluttet mod akkreditering af dem, der leverer ydelser til sundhedsvæsenet.
“ADHA afvist denne henstilling på grundlag af, at det giver flere udfordringer, herunder den ekstra byrde, at leverandører og potentiale for omdømme skade,” ANAO sagde.
Et år senere, en vurdering af de Oplysninger, Sikkerhed Registreret Bisiddere Program (IRAP) sagde overensstemmelse med den Australske regerings informationssikkerhed-Vejledning (ISM) bør være den mindste acceptable standard for at bruge Min vandrejournal. Denne vurdering anvendes til software, der anvendes af udbydere af sundhedsydelser, herunder mobile apps.
Men ADHA ikke gjorde det, på trods af det, der kræves af den Australske Regering Beskyttende sikkerhedspolitik Rammer, og i stedet lov leverandører til at underskrive en erklæring.
“Beslutningen om at ikke vurdere, godkende eller akkreditere ISM overholdelse af tredjeparts software og systemer … begrænset ADHA’ s garanti over cybersecurity risici af Min patientjournal-system,” ANAO skrev.
“En ISME vurdering, certificering og akkreditering tilgang ville give en stringent system for ADHA til at forstå og håndtere cybersecurity risici fra tredje-parts software, men nogen garanti proces, der skal afvejes mod incitament til at registrere og bruge systemet.”
Rapporten bemærkede også, at når ADHA gennemført en cyber vurdering, er det kun fokuseret på sig selv, og ikke på Min vandrejournal økosystem.
“[ADHA] ikke synes at fokusere på potentielle konsekvenser for producenter, leverandører af sundhedsydelser og sundhedsydelser modtagere. Fælles risikovurderinger overvejet alle de vigtigste interessentgrupper — den [Nationale Infrastruktur Operatør], Service Australien, software og mobil anvendelse leverandører, leverandører af sundhedsydelser og sundhedsydelser modtagere-dog primært med fokus på konsekvenser for ADHA sig selv og husets tekniske IKT-kontroller og behandlinger til beskyttelse af grundlæggende infrastruktur,” the audit office sagde.
ANAO sagde ADHA behov for at forbedre sin mekanisme til sporing IRAP anbefalinger, efter at finde et 2017 vurdering fandt 11 af 31 anbefalinger, der kommer fra 2015 vurdering blev ikke gennemført, og et 2018 vurdering, der henvises til nogle af de 2017 vurdering, men gjorde ikke fremskridt i forhold til sine anbefalinger.
“Fra juni 2019 [National Infrastruktur Operatør] udarbejdet en Min vandrejournal sikkerhedsrisiko registrere, at der er dokumenteret 74 risici i en omfattende risiko-ramme, men ikke dokumentere nogen af de foreslåede risiko for, behandlinger, kontrol eller vurdering af effektiviteten af kontroller-herunder for de 15” høj “og fem” meget høj ” risici,” hedder det i rapporten.
På trods af dette, Min vandrejournal var certificeret og godkendt af Department of Health i 2013 og 2016, og ved ADHA i 2018.
I rapporten bemærkes, at på trods af ADHA at betale for fire vurderinger af Harmoniseringskontoret af den Australske Information Commissioner (OAIC), ingen vurderinger er gennemført, men OAIC sagde, at det ville være afsluttet i indeværende år. På juni 26, ADHA sparket i AU$2.1 millioner i mindst to vurderinger af OAIC.
Lignende tal offentliggjort i September sidste år, at 971,252 registreringer, der er oprettet under Min vandrejournal prøveperiode, kun 214 haft adgang til kontrol sæt, det i rapporten fra juni 30, en rekord-få adgang til koden var blevet sat 27,215 gange, eller til 0,1% af registreringer, og et dokument, der er inkluderet koden var blevet set kun 3,862 gange.
Med brugere i stand til at begrænse synligheden af deres record, en funktion, der eksisterer i Min vandrejournal til at give sundhedsfagligt personale til at få adgang til komplet registrering i gange af en nødsituation. Denne funktion bruges i 0,1% af registrering får adgang til eller 205 tilfælde i Marts 2019, ANAO sagde. Imidlertid fandt det også kun 8,2% af de akut får adgang var på registreringer med adgangskontrol.
“ADHA søgte skriftlige svar fra sundhedsplejerske organisationer i forhold til hver forekomst af adgang til beredskabstjenester, og vedligeholdes detaljerede registre og analyse af leverandør svar. I en række tilfælde, ADHA ikke modtager et svar fra specifik sundhedspleje udbyder organisationer,” hedder det i rapporten.
“I disse tilfælde ADHA ikke kunne tilfredsstille sig selv, at omstændighederne for adgang til beredskabstjenester, ikke udgør et indgreb i privatlivets fred. I andre tilfælde, er nogle af svarene er angivet en potentiel overtrædelse af Loven. Til dato, ADHA har ikke meddelt Oplysninger, som Kommissær i alle disse tilfælde, og har heller ikke sundhedsplejerske organisationer.”
I form af det, når registreringer slettet fra Min vandrejournal, ANAO sagde permanent sletning sker via en automatiseret proces i to trin. For det første, at registreringen er annulleret at forhindre, at dokumenter, der er gemt imod det, og derefter inden for 48 timer, en registrering er slettet fra forskellige data-butikker.
Men slettede poster, der er gemt på backups er ikke som rettidige.
“De oplysninger, der er også fjernet fra systemet back-ups, men dette kan ikke ske med det samme: ADHA anført, at “slettede poster er fjernet fra backup når en ny sikkerhedskopi, dannes under regelmæssig backup cyklus”,” ANAO sagde.
På trods af ikke at gøre en test af systemet, eller en teknisk gennemgang af det, ANAO gav sletningen kryds.
“Det ANAO vurderet, at de dokumenter, der afspejles et design, der var i overensstemmelse med de juridiske krav for permanent at slette kliniske data og dokumenter,” sagde det.
Faktisk, på trods af cyber problemer, ANAO gav systemet en kryds samlet.
“Gennemførelse af Min vandrejournal har i vid udstrækning været effektiv,” hedder det i rapporten.
“Risici vedrørende beskyttelse af privatlivets fred og den centrale infrastruktur i vid udstrækning blev godt styret, men forvaltning af fælles it-sikkerhed risici, der ikke var hensigtsmæssigt og bør forbedres.”
ANAO lavet fire anbefalinger til ADHA, hvor det er aftalt at alle. Den første er at gennemføre en ende-til-ende privatliv vurdering af Min vandrejournal; at ADHA, Institut for Sundhed, og OAIC gennemgå adgang til beredskabstjenester funktion og underrette OAIC af faktiske og potentielle krænkelser af privatlivets fred; ADHA til at skabe en sikkerhed for, rammerne for tredjeparts software, og for ADHA til at udvikle og gennemføre en evaluering af programmet plan for Min vandrejournal.
For sin del, ADHA smækket op på den bløde strejf af ANAO.
“Det ANAO’ s konklusion, at gennemførelsen af Min vandrejournal var i høj grad effektive, og at planlægning, ledelse, og kommunikation var hensigtsmæssigt at give eu et vigtigt perspektiv på kompetence af den offentlige sektor til at gennemføre et system af denne størrelse og karakter,” agenturet sagde.
I September, ADHA sagde, at næsten alle offentlige udbydere af patologi og billeddiagnostik bruge electronic health record, med over 850,000 diagnostiske rapporter hver uge, der er blevet uploadet til Min vandrejournal.
“Der har været betydelige fremskridt i tilslutning patologi og billeddiagnostik udbydere til Min vandrejournal,” ADHA sagde på det tidspunkt.
“Næsten alle offentlige udbydere er allerede uploade og antallet af private udbydere at registrere og uploade er ved at accelerere.”
Private udbydere af sundheds-konsekvent har været i toppen af Anmeldelsespligtige Brud på datasikkerheden kvartalsrapport fra OAIC.
Tidligere i denne måned, ADHA, sagde i sin årlige rapport, at der var 38 sager indberettet til OAIC i løbet af året om potentielle uautoriseret adgang, sikkerhed eller integritet brud.
37 af disse sager blev regnet som brud, og ADHA sagde de fleste var resultatet af de administrative fejl, som “hænger sammen” Medicare poster eller behandling af fejl, når du opretter poster for spædbørn.
Tre involverede uautoriseret adgang til en persons Min vandrejournal.
Som af 30. juni 2019, der blev 22.55 millioner aktive poster i Min patientjournal-system. I alt 1,74 millioner mennesker adgang til deres plade via den nationale forbruger portal og i alt 493 millioner dokumenter, der er uploadet til Min patientjournal-system.
Tale i Senatet Skøn i sidste måned, ADHA repræsentanter sagde, at der havde været 23,528 registreringer aflyst, da 22 februar 2019; på samme tid, 22,129 mennesker har valgt igen.
Relaterede Dækning
ADHA at revidere den underliggende infrastruktur for Australiens sundhedsvæsen
Regeringen agentur har sine øjne på en fremtid, der omfatter AI, blokkæden, og IoT.
Den ADHA er at forenkle sin kliniske terminologi database med AWS
De Nationale Kliniske Terminologi Service er blevet re-designet til at reducere kompleksitet og omkostninger.
Kunne blokkæden være svaret for Australiens digitale vandrejournal?
Med privatlivets fred og sikkerhed problemstillinger, som stadig præger Min vandrejournal, Gartner kolleger og VP David Furlonger overvejer en fremtid, hvor blokkæden faktisk kunne hjælpe.
Min vandrejournal ‘brud’ for det meste om fastsættelse af forkerte registreringer Medicare
De brud, der var for det meste resultatet af data integritet aktivitet initieret af Tjenester Australien for at identificere sammen Medicare registreringer i stedet for uautoriseret adgang til forbryderiske aktivitet.
Over 30.000 Australierne aflyst deres Min vandrejournal i under to måneder
30,402 enkelte poster blev aflyst i lidt over syv uger.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre
| November 25, 2019 — 05:07 GMT (05:07 GMT)
| Emne: Sikkerhed