换句话说,当时健康级别 7 (HL7®) 快速医疗互操作性资源 (FHIR®) 标准作为试用标准草案(“ FHIR DSTU1 ”)发布,用于在健康信息技术 (Health IT) 软件中实施。FHIR 是一种交换健康信息的标准化方式,类似于我们使用互联网的方式。然而,FHIR 标准的安全页面指出,FHIR“不是安全协议,也没有定义任何与安全相关的功能”,因此在部署生产级 FHIR 服务器等时,需要与适当的安全标准配对。
值得庆幸的是,许多安全标准已经存在于 Web 服务中,并且可以应用于 FHIR。具体到医疗 IT,许多医疗 IT 开发人员正在部署的Argonaut 项目的数据查询实施指南将SMART APP 授权指南作为其安全层。在医疗 IT 中实施安全性是必要的,有些规范并不适合胆小的人,但重要的是,行业在部署安全的 FHIR 服务器时要获得尽可能多的经验。
为此,在国家网络安全意识月到来之际,国家卫生信息技术协调员办公室 (ONC) 护理院电子邮件列表 高兴宣布安全 API 服务器对决挑战赛。挑战赛邀请感兴趣的利益相关者使用当前行业标准和最佳实践构建安全的 FHIR 服务器。最终,挑战赛旨在识别开源 FH知的安全漏洞,并将产生一个强化的代码库,所有利益相关者都可以在未来部署 FHIR 服务器时从中受益。
挑战赛将分为两个阶段。在第一阶段,参赛者将各自开发并提交一个安全的 FHIR 服务器以供评判。获胜的三台服务器将被选中进入第二阶段,他们将与一群争相寻找安全漏洞的安全人士对战。
第一阶段:服务器搭建阶段
将选出三名第一阶段获胜者。这些获胜者将晋级第二阶段的服务器赛道,并有资格在第二阶段结束时领取 10,000 美元的奖金。
第二阶段:漏洞发现阶段
第 2 阶段将包括两个轨道:服务器轨道和发现轨道。
服务器轨道参与者需要在第 2 阶段运行第 1 阶段获胜的 FHIR 服务器,并审查发现轨道团队提交的潜在漏洞。
探索轨道团队将在第二阶段争夺以下奖项:
“发现最多累计确认漏洞”将为挑战赛期间发现最多确认漏洞的团队颁发一等奖、二等奖和三等奖(奖金分别为 7,500 美元、5,000 美元和2,500美元)。
任何参与探索轨道 (Discovery Track) 的团队都将获得两份价值 2,500 美元的奖金。
奖励奖#1:在单个 FHIR 服务器中发现最多确认的漏洞。
奖励#2:展示了在 FHIR 服务器中更改患者数据的能力。
挑战赛结束时,第一阶段获胜服务器的源代码必须按照MIT 许可证公开发布,同时还要列出第二阶段发现的所有已确认的安全漏洞。通过这一透明的过程和结果,我们鼓励利益相关者加强并更新已发布的代码,以进一步强化每个服务器的代码库。
现在......让我们准备摊牌吧!