Cap jempol memancarkan warna emas di atas papan rangkaian elektronik berwarna gelap dengan jalur rangkaian memancarkan warna jingga dan biru

Keamanan Data dalam Transit

Jika Anda terlibat di bidang keamanan data untuk organisasi pelayanan kesehatan, ada sesuatu yang mungkin membuat Anda bertanya-tanya, yaitu hal yang menyebabkan peraturan dan tanggung jawab legal memainkan peran sangat penting dalam memengaruhi teknologi data-dalam-transit yang dipilih oleh organisasi Anda. Satu faktor penyebab stres terbesar di seputar TI untuk sektor pelayanan kesehatan adalah pentingnya kepatuhan terhadap peraturan keamanan data seperti Undang-Undang Portabilitas dan Akuntabilitas Asuransi Pelayanan Kesehatan (lebih dikenal sebagai HIPAA).

Stres ini bukan tidak berdasar: sejauh ini, pelanggaran data pelayanan kesehatan umumnya paling merugikan dan merusak dari segi pendapatan dan reputasi organisasi. Rata-rata kerugian pelanggaran data di sektor pelayanan kesehatan tumbuh dari US$7,13 juta pada tahun 2020 menjadi US$9,23 juta pada tahun 2021, dibandingkan dengan rata-rata global sebesar $3,86 juta pada tahun 2020 dan $4,24 juta pada tahun 2021.

Peraturan ini sangat keras sehingga bahkan menghukum potensi pelanggaran HIPAA. Pada tahun 2019, laptop dan flash drive yang tidak dienkripsi dicuri dari Pusat Medis Universitas Rochester. Kejadian ini berikut cara URMC (Pusat Medis Universitas Rochester) menanganinya, mengakibatkan pembayaran sangsi sebesar US$3 juta kepada Kantor Hak Sipil sebagai penyelesaian atas potensi pelanggaran HIPAA.

Aturan dan persyaratan keamanan HIPAA

HIPAA memiliki tiga aturan dasar untuk melindungi para pasien dan informasi mereka:

  • Aturan Privasi: informasi dan dokumentasi kesehatan yang dilindungi
  • Aturan Pemberitahuan Pelanggaran: cara organisasi melaporkan pelanggaran keamanan kepada pihak berwenang dan pasien
  • Aturan Keamanan: menetapkan standar keamanan untuk penyimpanan dan transmisi informasi kesehatan yang dilindungi (PHI)
Dokter duduk sambil menjalankan aplikasi kesehatan di tablet; antarmuka aplikasi berbasis heksadesimal tampak paling depan

Berbagai aturan ini memastikan agar organisasi memikul tanggung jawab atas kerahasiaan & keamanan ePHI (PHI elektronik), serta juga mengantisipasi dan melindungi data itu dari ancaman. Namun, berbagai aturan ini tidak menentukan protokol, teknologi, atau standar tertentu untuk melakukan hal yang disebutkan. Hal ini disebabkan ancaman keamanan siber yang terus berkembang sehingga teknologi keamanan HIPAA juga harus demikian. Karena menentukan protokol enkripsi tertentu dapat mengurangi keefektifan undang-undang ini akibat terikat pada teknologi tertentu, maka perundang-undangan hanya menetapkan kekuatan dan keandalan dari standar keamanan yang digunakan dalam melindungi ePHI. Hal ini dilakukan mengikuti saran NIST (Institut Sains dan Teknologi Nasional), agar undang-undang itu lebih dapat bertahan hingga masa yang akan datang. Entitas dapat memilih solusi yang paling tepat dengan keadaannya dan menerapkan solusi itu pada sistemnya.

HIPAA mensyaratkan beberapa hal berbeda pada perangkat lunak enkripsi tergantung apakah data‘dalam keadaan diam atau ‘dalam transit.

Diam: data sedang tidak aktif, tersimpan dalam drive hard disk atau SSD, atau pada perangkat seperti tablet. Data harus dilindungi dengan kriptografi tingkat lanjut, keamanan disk penuh/disk virtual, serta enkripsi perangkat seluler (jika dapat diterapkan).

Dalam transit: bergerak secara aktif antara pengirim dan tujuan, seperti melalui email, transmisi ke cloud, atau antara server dan perangkat seluler.

Kepatuhan HIPAA dimungkinkan dengan tindakan seperti AES-256, yang hampir tidak mungkin ditembus oleh brute force dan telah diakui oleh pemerintah AS untuk penanganan data rahasia. TLS (Transport Layer Security) adalah protokol lain untuk mengamankan transmisi data, seperti HTTPS, email, atau IM. TLS juga menggunakan AES-256, yang digabungkan dengan tindakan keamanan lainnya. OpenPGP (Pretty Good Privacy) dan S/MIME juga sesuai dengan HIPAA, tetapi memiliki persyaratan manajemen kunci publik yang bagi kebanyakan orang agak sulit untuk digunakan bila dibandingkan dengan AES-256 dan TLS 1.2.

Rekomendasi yang umum adalah sistem yang aman sebaiknya menggunakan enkripsi AES-256 untuk data dalam keadaan diam, dan TLS untuk data dalam transit. Namun, rekomendasi ini bukan satu-satunya tindakan keamanan Anda. Mengidentifikasi dan mengurangi kelemahan adalah hal penting dalam tindakan keamanan untuk mematuhi HIPAA.

  • Staf & pelatihan (rekayasa sosial): ini hal yang klise karena memang benar. Manusia adalah mata rantai terlemah dalam keamanan siber, dan hal yang sama juga terjadi di industri pelayanan kesehatan
  • Perangkat yang hilang atau dicuri: seperti yang disebutkan sebelumnya, kehilangan laptop, flash drive, ponsel, atau perangkat lain yang berisi ePHI dapat dikenakan sangsi hingga nominal tujuh digit
  • Partner pihak ketiga: setiap vendor cloud atau TI pihak ketiga yang menangani ePHI harus memiliki dedikasi yang sama terhadap standar keamanan teknis seperti halnya dedikasi dari penyedia pelayanan kesehatan atau layanan yang bekerja sama dengan mereka
  • Sistem/server email yang tidak aman: siapa pun di organisasi Anda yang masih menggunakan klien atau server email yang tidak aman harus dihentikan
  • Enkripsi yang lemah: terobosan dalam teknologi komputer, terutama komputasi kuantum, menyebabkan standar enkripsi sebelumnya yang selama ini dianggap cukup aman dapat menjadi celah berbahaya bagi para penjahat siber modern
  • Kunci dan sertifikat enkripsi yang tidak diperbarui: kunci enkripsi yang tetap digunakan setelah melebihi rekomendasi masa pemakaian NIST, atau setelah terjadinya pelanggaran data, dapat memaparkan organisasi pada bahaya  

Tindakan pengamanan teknis pada HIPAA dapat membingungkan karena persyaratan enkripsi disebut sebagai hal yang dapat ditinjau‘(addressable). Terdapat penggunaan kata-kata yang tidak jelas mengenai enkripsi PHI: “…entitas harus melaksanakan mekanisme untuk mengenkripsi PHI apabila dianggap tepat”.

Dalam konteks ini,‘ 'dapat ditinjau' berarti tindakan pengamanan atau alternatif yang setara harus diterapkan, atau jika tidak, harus didokumentasikan alasan yang dapat diterima untuk tidak menggunakan tindakan pengamanan itu. Misalnya, komunikasi internal melalui server internal yang dilindungi oleh firewall mungkin tidak menimbulkan risiko pada integritas PHI terhadap sumber serangan dari luar. Namun, komunikasi yang mengandung ePHI dan meninggalkan entitas yang dilindungi firewall kini harus ditangani dengan menggunakan tindakan pengamanan yang dapat ditinjau.

Keamanan siber dengan simbol gembok di layar laptop modern

Entitas dapat mengirimkan ePHI menggunakan email melalui jaringan terbuka hanya jika informasi itu dilindungi dengan memadai. Analisis risiko harus dilakukan untuk menemukan berbagai risiko terhadap kerahasiaan, integritas, dan ketersediaan ePHI sehingga rencana manajemen risiko dapat dibuat untuk mengurangi berbagai risiko itu ke tingkat yang layak.

Enkripsi universal untuk pesan adalah metode umum manajemen risiko, meskipun tingkat perlindungan yang setara dapat digunakan sebagai pengganti enkripsi.

Selain laptop dan flash drive yang hilang atau dicuri, perangkat seluler pribadi di tempat kerja dapat mengurangi integritas PHI. Sebanyak 4 dari 5 profesional pelayanan kesehatan menggunakan tablet untuk manajemen aliran kerja. Pelarangan menggunakan perangkat tidak terenkripsi di organisasi pelayanan kesehatan akan menyebabkan gangguan sangat besar pada komunikasi dan aspek lain pada industri pelayanan kesehatan.

Platform olah pesan yang aman menawarkan kemungkinan solusi untuk masalah ini, karena platform itu memenuhi persyaratan enkripsi HIPAA dengan mengenkripsi PHI, baik saat data dalam keadaan diam maupun dalam transit. Komunikasi yang mengandung PHI tidak dapat diuraikan apabila komunikasi itu dihadang atau diakses tanpa izin. Solusi olah pesan yang aman tidak hanya memenuhi persyaratan enkripsi email HIPAA, tetapi juga persyaratan untuk kontrol akses, kontrol audit, kontrol integritas, dan autentikasi ID. Solusi ini jauh lebih berguna daripada penyeranta karena memungkinkan informasi medis (termasuk gambar) dibagikan dengan aman.

Seiring kemajuan teknologi dan kejahatan siber yang berkembang kian canggih, akan makin nyata pula kebutuhan akan kepatuhan regulasi pada HIPAA dan perundang-undangan lainnya guna mengamankan informasi kesehatan yang dilindungi dan dalam transit milik pasien.

#KingstonIsWithYou

Ikon minta bantuan pakar Kingston pada chipset papan sirkuit

Minta Bantuan Pakar

Perencanaan solusi yang tepat membutuhkan pemahaman tentang tujuan keamanan proyek. Biarkan pakar Kingston memandu Anda.

Minta Bantuan Pakar

Artikel Terkait