截至4月份,209,000名美国人自愿为全国卫生研究所(NIH)提供其个人健康数据(NIH)所有美国研究计划,以建立一个有助于推动精密医学倡议的全国研究队列超过100万人的参与者。但这些参与者可能会使他们的数据有风险。

虽然我们所有人继续增长并收集参与者的个人信息,但卫生和人类服务办公室(OIG)在最近进行了审计并透露 报告 这两个奖项NIH中的一个选择保护参与者数据的控制权不足以提供这些保护。

NIH向Vanderbilt University Medical Center发布了数据和研究中心奖,其中OIG没有找到安全问题。

其他奖项,参与者技术系统中心(PTSC)致力于触发健康,而OIG则发现了几种不足以保护我们所有参与者数据的安全控制,例如他们个人身份信息(PII)。

“通过我们在振动的普及力测试中,我们确定了可能暴露所有参与者的PII,包括个人信息的漏洞,并允许未经授权的用户改变参与者的数据”OIG。 “这些漏洞可以允许攻击者具有有限的技术知识来利用和妥协PTSC的系统,因为大多数漏洞都不需要剥削的重要技术知识。”

NIH先前未发现这些漏洞,因为它没有正确监控PTSC,以确保它有必要的网络安全控制来保护参与者数据,因此OIG添加。

使用PTSC发现的其他并发症包括该中心未能:

  • 在云中的22个私有S3存储桶中启用加密;
  • 是否有解决源冷漏电和提示网络访问禁用的政策和程序;和
  • 保持适当的网络漏洞扫描。

NIH与OIG的调查结果同意并说,PTSC已确定“修复漏洞”。向前迈进,OIG进一步建议NIH修改其所有合作协议,以确保更安全的数据保护。

“我们建议NIH修改其所有美国合作协议和与安全和隐私要求的合作协议,以包括如何监测网络安全的详细说明,并确保未来获奖者充分实施安全控制以保护敏感数据,”OIG说。

阅读更多信息