Birleşik olmasına rağmen Eyalet Gazi İşleri Bakanlığı bazı ilginç teknoloji programları yürütüyor, esnek ve çevik bir organizasyon olduğu bilinmiyor. Ve elektronik tıbbi kayıt yönetimi söz konusu olduğunda, VA yıllardır yavaş ama yüksek bahisli bir drama oynuyor.
Bölümün ilk olarak 1970’lerin sonlarında kurulan kayıt platformu VistA, etkili, güvenilir ve hatta yenilikçi olarak övülüyor, ancak onlarca yıllık yetersiz yatırım platformu aşındırdı. 2010’lar boyunca birçok kez VA, VistA’yı (Gazi Bilgi Sistemleri ve Teknoloji Mimarisi’nin kısaltması) ticari bir ürünle değiştireceğini söyledi ve bu çabanın en son yinelemesi şu anda devam ediyor. Bu arada, güvenlik araştırmacıları VistA’da hasta bakımını etkileyebilecek gerçek güvenlik sorunları buluyor. Bunları VA’ya açıklamak ve sorunları gidermek istiyorlar, ancak VistA ölüm hücresinde olduğu için bunu yapmanın bir yolunu bulamadılar.
Cumartesi günü Las Vegas’ta düzenlenen DefCon güvenlik konferansında, sağlık BT’sinde bir güvenlik araştırmacısı olan Zachary Minneker, VistA’nın dahili kimlik bilgilerini nasıl şifrelediği konusunda endişe verici bir zayıflık hakkında bulgular sunuyor. Ek bir ağ şifreleme katmanı olmadan (şu anda web’de her yerde bulunan TLS gibi), Minneker, 1990’larda VistA için ağ sunucusu ve bireysel bilgisayarlar arasındaki bağlantıyı korumak için geliştirilen ev yapımı şifrelemenin kolayca yenilebileceğini buldu. Pratikte bu, bir hastanenin ağındaki bir saldırganın VistA içindeki bir sağlık hizmeti sağlayıcısının kimliğine bürünmesine ve muhtemelen hasta kayıtlarını değiştirmesine, teşhis sunmasına ve hatta teorik olarak ilaç reçete etmesine izin verebilir.
“TLS’siz ağda komşu olsaydınız, şifreleri kırabilir, paketleri değiştirebilir, veritabanında değişiklikler yapabilirsiniz. Minneker WIRED’e en kötü senaryoda, aslında bir doktor kılığına girebilirsiniz” dedi. “Bu, modern çağda bir elektronik tıbbi kayıt sistemi için iyi bir erişim kontrol mekanizması değil.”
Yazılım odaklı Security Innovation firmasında güvenlik mühendisi olan Minneker, çoğunlukla VistA’nın daha geniş bir güvenlik değerlendirmesine ve bunun altında yatan veritabanı programlama dili MUMPS’a odaklanan DefCon konuşmasında bulguları kısaca tartıştı. Ocak ayından bu yana, departmanın güvenlik açığı açıklama programı ve Bugcrowd üçüncü taraf açıklama seçeneği aracılığıyla bulguyu VA ile paylaşmaya çalışıyor. Ancak Vista, her iki program için de kapsam dışındadır.
Bunun nedeni, VA’nın şu anda Cerner Corporation tarafından tasarlanan yeni bir tıbbi kayıt sistemi kullanarak VistA’mızı aşamalandırmaya çalışması olabilir. Haziran ayında, VA, pilot dağıtımların kesintilere maruz kalması ve potansiyel olarak yaklaşık 150 hasta zararına yol açması nedeniyle, 10 milyar dolarlık Cerner sisteminin genel bir sunumunu 2023’e kadar erteleyeceğini açıkladı.
VA, WIRED’in Minneker’in bulguları veya VistA’daki güvenlik açıklarını ifşa eden daha geniş durum hakkında yorum yapmak için birden fazla talebini geri göndermedi. Bu arada, VistA yalnızca VA sağlık sistemi genelinde dağıtılmakla kalmaz, başka yerlerde de kullanılır.