[ad_1]
Mặc dù Hoa Kỳ Bộ Cựu chiến binh Hoa Kỳ điều hành một số chương trình công nghệ thú vị, nó không được biết đến là một tổ chức linh hoạt và nhanh nhẹn. Và khi nói đến quản lý hồ sơ y tế điện tử, VA đã phải trải qua một vở kịch chậm chạp nhưng mang lại lợi nhuận cao trong nhiều năm.
Nền tảng hồ sơ của bộ phận, VistA, được thành lập lần đầu tiên vào cuối những năm 1970, được ca ngợi là hiệu quả, đáng tin cậy và thậm chí là sáng tạo, nhưng hàng thập kỷ đầu tư thiếu đã làm xói mòn nền tảng này. Nhiều lần trong suốt những năm 2010, VA cho biết họ sẽ thay thế VistA (viết tắt của Kiến trúc Công nghệ và Hệ thống Thông tin Cựu chiến binh) bằng một sản phẩm thương mại và lần lặp lại mới nhất của nỗ lực này hiện đang được tiến hành. Tuy nhiên, trong khi chờ đợi, các nhà nghiên cứu bảo mật đang tìm ra các vấn đề bảo mật thực sự trong VistA có thể ảnh hưởng đến việc chăm sóc bệnh nhân. Họ muốn tiết lộ chúng với VA và giải quyết các vấn đề, nhưng họ chưa tìm ra cách để làm điều đó vì VistA đang bị tử hình.
Tại hội nghị bảo mật DefCon ở Las Vegas vào thứ Bảy, Zachary Minneker, một nhà nghiên cứu bảo mật có kiến thức nền tảng về CNTT chăm sóc sức khỏe, đang trình bày những phát hiện về điểm yếu đáng lo ngại trong cách VistA mã hóa thông tin đăng nhập nội bộ. Nếu không có thêm lớp mã hóa mạng (như TLS, hiện đã phổ biến khắp nơi trên web), Minneker nhận thấy rằng mã hóa do nhà sản xuất phát triển cho VistA vào những năm 1990 để bảo vệ kết nối giữa máy chủ mạng và các máy tính cá nhân có thể dễ dàng bị đánh bại. Trên thực tế, điều này có thể cho phép kẻ tấn công trên mạng của bệnh viện mạo danh nhà cung cấp dịch vụ chăm sóc sức khỏe trong VistA và có thể sửa đổi hồ sơ bệnh nhân, gửi chẩn đoán hoặc thậm chí kê đơn thuốc theo lý thuyết.
“Nếu bạn ở liền kề trên mạng không có TLS, bạn có thể bẻ khóa mật khẩu, thay thế gói tin, sửa đổi cơ sở dữ liệu. Trong trường hợp xấu nhất, về cơ bản bạn có thể hóa trang thành một bác sĩ, ”Minneker nói với WIRED. “Đây không phải là một cơ chế kiểm soát truy cập tốt cho hệ thống bệnh án điện tử trong thời kỳ hiện đại.”
Minneker, một kỹ sư bảo mật tại công ty phần mềm Security Innovation, chỉ thảo luận ngắn gọn về những phát hiện trong buổi nói chuyện với DefCon, chủ yếu tập trung vào đánh giá bảo mật rộng hơn của VistA và ngôn ngữ lập trình cơ sở dữ liệu MUMPS làm nền tảng cho nó. Anh ấy đã cố gắng chia sẻ phát hiện với VA từ tháng 1 thông qua chương trình tiết lộ lỗ hổng bảo mật của bộ và tùy chọn tiết lộ bên thứ ba của Bugcrowd. Nhưng VistA nằm ngoài phạm vi của cả hai chương trình.
Điều này có thể là do VA hiện đang cố gắng loại bỏ VistA của chúng tôi bằng cách sử dụng hệ thống hồ sơ y tế mới do Cerner Corporation thiết kế. Vào tháng 6, VA đã thông báo rằng họ sẽ trì hoãn việc triển khai chung hệ thống Cerner trị giá 10 tỷ đô la cho đến năm 2023 vì việc triển khai thí điểm đã bị cản trở do ngừng hoạt động và có khả năng dẫn đến gần 150 trường hợp gây hại cho bệnh nhân.
VA đã không trả lại nhiều yêu cầu bình luận của WIRED về các phát hiện của Minneker hoặc tình huống rộng hơn với việc tiết lộ các lỗ hổng trong VistA. Tuy nhiên, trong khi đó, VistA không chỉ được triển khai trên toàn hệ thống chăm sóc sức khỏe VA mà còn được sử dụng ở những nơi khác.
cài đặt phần mềm online
[ad_2]
