Impulso para registros médicos eletrônicos deve desacelerar, por segurança

Entre as muitas novas disposições, a Lei Americana de Recuperação e Reinvestimento (ARRA), é o financiamento federal para registros médicos eletrônicos. Conhecida como HITECH, a lei incentiva as organizações de saúde a digitalizar informações de saúde pessoais antes de 2020. Perdidas na correria, no entanto, são os detalhes. “Espero ansiosamente que os registros médicos sejam eletrônicos”, disse Howard Schmidt, o antigo O czar de segurança cibernética da Casa Branca, "mas eu tenho uma tremenda preocupação com a construção de uma infra-estrutura de saúde realmente muito boa … e depois assegurá-la mais tarde". Schmidt conversou com a PCWorld na RSA 2009.

A lei, que também atualiza partes da HIPAA, dá à Secretaria de Saúde e Serviços Humanos até meados de agosto para definir o que constitui um registro médico eletrônico. Na opinião de Schmidt, os requisitos iniciais devem começar com autenticação e criptografia fortes e, até agora, o Secretário fez exatamente isso. Citando os padrões existentes do NIST e do FIPS, a orientação do HHS inclui dados de assistência médica em repouso, dados em movimento, bem como a destruição adequada das Informações Protegidas de Saúde. Infelizmente, alguns profissionais de saúde começaram a comprar sistemas de saúde eletrônica antes que o conjunto completo de padrões seja conhecido.

[Leia mais: Como remover malware do seu PC Windows]

Schmidt lembrou como as pessoas criticavam a Microsoft, onde ele trabalhava no final dos anos 90, por atrasar o Windows Vista muitas vezes. "Gostaríamos de criticar a Microsoft se eles vendessem o Vista e tivessem mais problemas do que agora. Portanto, temos que lembrar que ter um horário é bom", mas ele alertou que qualquer horário também deve ter alguns limites embutidos. e salvaguardas. Este não é o caso da HITECH, que premia a maior parte de seus incentivos financeiros nos primeiros anos.

Em março, Schmidt e Brian Chess, da Fortify, falaram ao Congresso sobre a necessidade de um ciclo de vida de software seguro. A sua proposta pedia, entre outras coisas, que criasse a posição de "Guardião do Portão", alguém com o poder de dizer que o cronograma de um projeto cairia se o produto não atendesse a esse particular requisito de privacidade ou segurança.

A HITECH inclui o primeira lei de notificação de violação de dados da nação, que diz que todos os provedores de assistência médica, seja um consultório médico de duas pessoas ou uma grande HMO, devem notificar todos os pacientes afetados de qualquer violação ou correr o risco de multas pesadas. A idéia é impedir que os provedores de saúde simplesmente coloquem o dinheiro de incentivo da HITECH para "construir um sistema de saúde muito legal para que um médico possa pegar seu blackberry e dizer: 'Sim, Howard Schmidt. Aqui estão seus dados de pacientes'". Concorda com Schmidt e prefere que as organizações de saúde recebam e-health desde o início, embora difiram quanto aos meios para conseguir isso.

Schmidt diz que tem um interesse pessoal em e-saúde. Ele passa cerca de 300 dias por ano voando e pode estar em Cingapura, São Francisco ou em qualquer lugar em que precise de atenção médica. "Talvez eu seja um avião em algum lugar; não quero que eles digam 'Oh, espere. Onde podemos encontrar o registro médico desse cara?' Eu quero que eles sejam capazes de criar um método autenticado que seja relevante para a situação em que estou. Isso poderia salvar minha vida. ”

Robert Vamosi é analista de risco, fraude e segurança da Javelin Strategy & Pesquisa e um escritor de segurança de computador independente que cobre hackers criminosos e ameaças de malware.