Gesundheit

CMS heruntergefahren Zugang zu den Blauen Button 2.0 vorübergehend wegen der Sicherheits-Panne

Die Centers for Medicare und Medicaid Services hat gesperrt Zugriff auf Ihren Blauen Button 2.0 Produktionsumgebung nach einem Drittanbieter-app-Entwickler alarmierte die Agentur um einen bug im code-Basis dazu führen könnte, dass die Exposition von einigen Patienten “ geschützte Gesundheitsinformationen.

WARUM ES WICHTIG IST
In einem blog-post, die details der Ursache des Problems, CMS stellt fest, dass die Störung in der B2.0 codebase „verursacht werden, die möglicherweise bestimmten Begünstigten geschützt Gesundheit Informationen werden versehentlich gemeinsam mit anderen Begünstigten oder die falsche B2.0-Anwendung.“

Im wesentlichen, das problem ergibt sich aus der Tatsache, dass das system abschneiden 128-bit-Benutzer-IDs zu 96 bits, die „nicht ausreichend zufällig, um Sie eindeutig zu identifizieren, einen einzelnen Benutzer.“

CMS Kontaktaufnahme mit dem betroffenen Begünstigten und Anwendungen von Drittanbietern direkt, und geschlossen haben Zugang zu B2.0 bis zu einer vollständigen überprüfung.

„Diese technische Frage, die möglicherweise betroffen sind weniger als 10.000 Leistungsempfänger und 30 apps. Es war auf der Blauen Taste 2.0-API autorisierte Benutzer und Entwickler – nicht-Medicare-Begünstigten, die mehr breit oder externe Einrichtungen,“ Beamte sagte.

„CMS kommuniziert direkt mit den betroffenen Begünstigten, die in den kommenden Wochen durch einen Brief. Nachdem die Agentur schließt eine Gründliche Analyse der Auswirkungen auf die betroffenen Begünstigten, CMS bestimmen, notwendig für die zusätzlichen Schutz bieten betroffenen Begünstigten (z.B. Kredit-monitoring, eine Spezielle Registrierungs-Frist).“

Die Begünstigten können auch anrufen 1-800-MEDICARE mit Fragen.

In der Zwischenzeit, Beamte beachten Sie, dass B2.0 Entwickler setzen ein „enhanced quality review und Validierung der Codes sicherzustellen Probleme wie diese gefangen werden, bevor ein neuer code ist verpflichtet, B2.0 oder alle CMS-APIs. Das team ist die Umsetzung eine zusätzliche überwachung und Alarmierung für B2.0. Dies erhöht CMS die Fähigkeit zu verfolgen B2.0 zu verwenden.“

CMS sagte auch, dass, sobald die Dienste wieder hergestellt ist, haben alle Benutzer erneut authentifizieren mit B2.0 aktivieren der Generierung einer neuen Benutzer-ID.

DER GRÖßERE TREND
Blaue Taste 2.0 ist eine API, die mit vier Jahren von Medicare Teil A, B und D-Daten für 53 Millionen Medicare Begünstigten, – Angaben über die Art der Medicare-Abdeckung, Arzneimittelverordnungen, primäre Pflege, Behandlung und Kosten. Es nutzt HL7 ist FHIR-standard für Daten über begünstigte und OAuth 2.0-standard für die Begünstigten Genehmigung.

In den Blauen Button 2.0 mit Sandkasten, an dem Hunderte von Entwicklern in der Lage sind, zum erstellen und testen von Anwendungen mithilfe der synthetischen Probe Daten über begünstigte.

CMS angegeben, dass die Frage der Sicherheit wirkt sich nur auf die B2.0, nicht-Plan-Finder, Medicare.gov oder jedes andere system.

„Wir haben nicht erkannt das eindringen von unbefugten Benutzern und system-Integrität wurde nicht beeinträchtigt durch eine externe Quelle,“ die Beamten Hinzugefügt.

Die betroffenen Anwendungen, je nach CMS:

  • 1upHealth
  • Leistung
  • Beraten, geliefert von Ascend Zitat & Einschreibung
  • Allwell – Absolute Total Care geliefert von Ascend Zitat & Einschreibung
  • Allwell – Arizona Vollständige Gesundheit zugestellt durch Aufsteigen Zitat & Einschreibung
  • Allwell – Arkansas Gesundheit & Wellness-geliefert von Ascend Zitat & Einschreibung
  • Allwell – Buckeye Health Plan geliefert von Ascend Zitat & Einschreibung
  • Allwell – Home-State-Gesundheit-geliefert von Ascend Zitat & Einschreibung
  • Allwell – Louisiana Healthcare-Verbindungen geliefert von Ascend Zitat & Einschreibung
  • Allwell – Magnolia Gesundheit Plan geliefert von Ascend Zitat & Einschreibung
  • Allwell – Sonnenblumen-Gesundheits-Plan geliefert von Ascend Zitat & Einschreibung
  • Allwell – Superior-Gesundheits-Plan geliefert von Ascend Zitat & Einschreibung
  • Der Aufstieg Komplett – Florida
  • Der Aufstieg Komplett – Kansas geliefert von Ascend Zitat & Einschreibung
  • BlueButtonPro
  • DocSpera
  • Registrieren Hero
  • Evidation
  • Erhalten Sie Ihre Gesundheit Datensatz
  • Human API
  • Humana
  • iBlueButton
  • Medicare Empfehlen
  • MedRecordsConnect
  • myFHR
  • Project Baseline
  • Projekt Seamless
  • Prominenz Gesundheit Plan geliefert von Ascend Zitat & Einschreibung
  • Rush University Medical Center
  • Treuen.Pflege

AUF DER PLATTE
„Die Ursache für den Vorfall ist klar und CMS Schritte unternommen, um besser zu verstehen, wie dieser Fehler aufgetreten ist“, sagte Agentur Beamten in der blog-post. „Die aktuelle B2.0-team hat eine starke Kultur des code-review statt. Der code, der dies verursacht Fehler begangen wurde, am 11. Januar 2018. Auf der Grundlage der check-in Noten um das zu ändern, scheint es, dass eine umfassende überprüfung nicht abgeschlossen war. Eine umfassendere Prüfung möglicherweise identifiziert diese Codierung Fehler.“

Twitter: @MikeMiliardHITN
E-Mail der Autorin: [email protected]

Healthcare-IT-News ist eine Publikation der HIMSS Medien.