ユナイテッドなのに 米国退役軍人省は、いくつかの興味深い技術プログラムを実行していますが、柔軟で機敏な組織であることは知られていません。 そして、電子カルテ管理に関しては、VA はゆっくりではあるが、大きな賭けのドラマを持っていました。 何年も遊んでいる.
同局の記録プラットフォームである VistA は、1970 年代後半に初めて導入され、効果的で信頼性が高く、革新的でさえあると称賛されていますが、何十年にもわたる投資不足により、このプラットフォームは侵食されてきました。 VA は 2010 年代を通じて何度も、VistA (Veterans Information Systems and Technology Architecture の略) を商用製品に置き換えると述べており、この取り組みの最新版が現在進行中です。 その間、セキュリティ研究者は、患者のケアに影響を与える可能性のある実際のセキュリティ問題を VistA で発見しています。 彼らはそれらを VA に開示して問題を解決したいと考えていますが、VistA が死刑囚監房にいるため、それを行う方法が見つかりません。
土曜日にラスベガスで開催された DefCon セキュリティ カンファレンスで、ヘルスケア IT のバックグラウンドを持つセキュリティ研究者である Zachary Minneker が、VistA が内部資格情報を暗号化する方法の懸念すべき弱点に関する調査結果を発表しています。 ミネカーは、ネットワーク暗号化の追加レイヤー (現在は Web 全体で普及している TLS など) がなければ、ネットワーク サーバーと個々のコンピューター間の接続を保護するために 1990 年代に VistA 用に開発された独自の暗号化が簡単に破られることを発見しました。 実際には、これにより、病院のネットワーク上の攻撃者が、VistA 内の医療提供者になりすまして、患者の記録を変更したり、診断を提出したり、理論的に薬を処方したりする可能性があります。
「TLS を使用しないネットワークに隣接している場合、パスワードをクラックし、パケットを置き換え、データベースを変更することができます。 最悪のシナリオでは、基本的に医者になりすますことができます」と Minneker 氏は WIRED に語っています。 「これは、現代の電子医療記録システムの優れたアクセス制御メカニズムではありません。」
ソフトウェアに焦点を当てた企業 Security Innovation のセキュリティ エンジニアである Minneker は、DefCon の講演で、VistA とその基礎となるデータベース プログラミング言語 MUMPS のより広範なセキュリティ評価に主に焦点を当てた、調査結果について簡単に説明しました。 彼は 1 月以来、部門の 脆弱性開示プログラム と バグクラウド 第三者開示オプション。 しかし、VistA は両方のプログラムの対象外です。
これは、VA が現在、Cerner Corporation によって設計された新しい医療記録システムを使用して、VistA を段階的に使用しようとしていることが原因である可能性があります。 VA は 6 月に、 遅れ 2023 年までの 100 億ドルの Cerner システムの一般的なロールアウト 患者の害.
VA は、Minneker の調査結果や、VistA の脆弱性を開示する広範な状況に関する WIRED の複数のコメント要求に応じませんでした。 一方で、VistA は VA ヘルスケア システム全体に展開されるだけでなく、他の場所でも使用されます。