การใช้บันทึกสุขภาพอิเล็กทรอนิกส์ (EHR) ที่เพิ่มขึ้นในภาครัฐและเอกชนสามารถให้การดูแลผู้ป่วยในระดับที่ดีขึ้นและบูรณาการมากขึ้น แต่บันทึกดิจิทัลเหล่านี้หากไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม อาจทำให้ผู้ให้บริการด้านการดูแลสุขภาพเสี่ยงต่อการรั่วไหลของข้อมูลที่สามารถระบุตัวบุคคลได้สำนักงานความรับผิดชอบของรัฐบาลได้หยิบยกข้อกังวลเหล่านี้ขึ้นในปี 2559 เมื่อมีการระบุช่องว่างระหว่างสิ่งที่กรมอนามัยและบริการมนุษย์แนะนำในแนวทาง EHR กับ
หน่วยงานที่ครอบคลุม เช่น แผนการดูแลสุขภาพและผู้ให้บริการด้านการดูแล
และสิ่งที่สถาบันแห่งชาติของกระทรวงพาณิชย์ ของมาตรฐานและเทคโนโลยีที่แนะนำ
นอกจากนี้ HHS ยังให้คำแนะนำแก่หน่วยงานที่เกี่ยวข้องเพื่อปรับปรุงความปลอดภัยของบันทึกสุขภาพทางอิเล็กทรอนิกส์ GAO ยังพบว่าหน่วยงานไม่ได้ติดตามเพื่อดูว่าหน่วยงานเหล่านั้นกำลังดำเนินการตามที่แนะนำหรือไม่
Greg Wilshusen ผู้อำนวยการฝ่ายปัญหาความปลอดภัยของข้อมูลของ GAO กล่าวกับ Federal News Network ว่าจนถึงปีนี้ HHS ยังไม่ได้ดำเนินการตามคำแนะนำจากรายงานของหน่วยงานเฝ้าระวัง
และในช่วงหลายปีนับตั้งแต่ GAO ออกรายงานฉบับนั้นครั้งแรก ภัยคุกคามจากการละเมิดข้อมูลด้านไอทีด้านสุขภาพก็เพิ่มขึ้นเท่านั้น
ตัวอย่างเช่น สำนักงานผู้ตรวจการทั่วไปของ HHS รักษาผ่านพอร์ทัลการละเมิดรายการการละเมิดข้อมูลด้านไอทีด้านสุขภาพที่ส่งผลกระทบต่อผู้คน 500 คนขึ้นไป พอร์ทัลซึ่งย้อนหลังไปถึงเดือนกุมภาพันธ์ 2018 มีการละเมิดมากกว่า 600 รายการที่ตรงตามเกณฑ์เหล่านั้น
“เราพบภัยคุกคามหลายประการต่อข้อมูลประเภทนี้
เนื่องจากข้อมูลดังกล่าวประกอบด้วยข้อมูลที่สามารถระบุตัวบุคคลได้ … ซึ่งหากไม่ได้รับการป้องกันอย่างเพียงพอ อาจนำไปสู่ผลกระทบในทางลบ เช่น การโจรกรรมข้อมูลประจำตัว การฉ้อโกงด้านประกันภัย รวมถึงการสูญเสียความเป็นส่วนตัวและอาจเป็นไปได้ แม้แต่การแบล็กเมล์บุคคลที่ข้อมูลอาจถูกบุกรุก” Wilshusen กล่าวในการให้สัมภาษณ์
เมื่อย้ายบันทึกสุขภาพทางอิเล็กทรอนิกส์ Wilshusen กล่าวว่าหน่วยงานต่างๆ ควรจัดเก็บอุปกรณ์ในเครือข่ายของตน ระบุว่า PII อยู่ที่ใดบนเครือข่าย และใครบ้างที่เข้าถึงได้
“ขั้นตอนแรกคือการระบุมงกุฎเพชรของคุณ สำหรับข้อมูลทางการแพทย์และข้อมูลละเอียดอ่อนใดๆ ที่หน่วยงานอาจมี จากนั้นจึงประเมินความเสี่ยงที่เกี่ยวข้องกับข้อมูลนั้น” เขากล่าว “อะไรคือภัยคุกคามที่สำคัญ? ใครจะสนใจที่จะเข้าถึงข้อมูลที่ไม่ควรเข้าถึง”
จากจุดนั้น Wilshusen กล่าวว่าหน่วยงานควรจัดการการเข้าถึง PII และอุปกรณ์บนเครือข่ายผ่านเครื่องมือการจัดการข้อมูลประจำตัว เช่น การยืนยันตัวตนแบบหลายปัจจัย
“เอเจนซี่ต่างให้ความสำคัญกับการจัดการข้อมูลประจำตัวและการพิสูจน์ตัวตนอย่างจริงจัง และฉันคิดว่ามีความเคลื่อนไหวในการก้าวไปสู่แนวทางที่ไม่ไว้วางใจมากขึ้น” Wilshusen กล่าว “ในบางกรณี โดยเฉพาะอย่างยิ่งกับการย้ายไปสู่คลาวด์คอมพิวติ้ง มันอาจจะไกลออกไปเล็กน้อย แต่นั่นคือสิ่งที่เราจะมองไปข้างหน้า”
นอกเหนือจากการป้องกันการเข้าถึงบันทึกสุขภาพอิเล็กทรอนิกส์โดยไม่ได้รับอนุญาตและหลีกเลี่ยงการละเมิดข้อมูล Wilshusen กล่าวว่าหน่วยงานและอุตสาหกรรมยังเผชิญกับความท้าทายในการบรรเทาภัยคุกคามต่ออุปกรณ์ทางการแพทย์ที่เปิดใช้งาน Internet of Things
อุปกรณ์การแพทย์ IoT สามารถให้ภาพที่สมบูรณ์ยิ่งขึ้นเกี่ยวกับสุขภาพของผู้ป่วย และระบุปัญหาหรือแนวโน้มเฉพาะที่ผู้ให้บริการด้านสุขภาพสามารถแก้ไขได้ อุปกรณ์เหล่านี้มีประโยชน์อย่างยิ่งต่อชุมชนในชนบทที่เข้าถึงสถานพยาบาลในบริเวณใกล้เคียงได้อย่างจำกัด
“มีประโยชน์มากมายจากการใช้อุปกรณ์ประเภทนี้และการใช้อินเทอร์เน็ตเพื่อช่วยส่งข้อมูลทางการแพทย์เกี่ยวกับบุคคล ไปยังสถานพยาบาลหรือให้ข้อมูลนั้นแก่ผู้ป่วย” Wilshusen กล่าว
แต่อุปกรณ์ทางการแพทย์ IoT ก็เผชิญกับความท้าทายด้านความปลอดภัยทางไซเบอร์เช่นกัน ในหลายกรณี อุปกรณ์เหล่านี้ไม่สามารถอัปเดตซอฟต์แวร์ได้ง่ายๆ ทำให้ยากต่อการแก้ไขช่องโหว่ด้านไอทีที่รู้จัก
“พวกเขาจำเป็นต้องได้รับการอัปเดตเพื่อช่วยจัดการกับภัยคุกคามความปลอดภัยเหล่านั้นบนซอฟต์แวร์ และมักจะไม่มีวิธีการที่มีความหมายในการดำเนินการดังกล่าว” Wilshusen กล่าว
นอกจากนี้ หน่วยงานและภาคอุตสาหกรรมยังจำเป็นต้องรักษาความปลอดภัยของข้อมูลระหว่างการขนส่งเพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีดักข้อมูลนั้นเพื่อกระทำการโจรกรรมข้อมูลประจำตัว หรือแม้แต่แก้ไขข้อมูลเพื่อก่อให้เกิดอันตรายต่อผู้ใช้อุปกรณ์ทางการแพทย์
