Lekarz korzystający z tabletu. Ilustracja wykorzystania technologii w medycynie.

Trudna prawda o właściwej ochronie danych w branży opieki zdrowotnej

cze 2023
Strona główna bloga

Organizacje opieki zdrowotnej zawsze będą musiały przechowywać i przenosić dane dotyczące stanu zdrowia pacjentów, określane również jako chronione informacje zdrowotne (ang. Protected Health Information, PHI). Priorytetowe traktowanie bezpieczeństwa danych nadal będzie mieć kluczowe znaczenie dla ochrony przed cyberatakami i utratą danych, aby zapewnić bezpieczeństwo tych informacji. Badanie przeprowadzone przez Amerykańskie Stowarzyszenie Medyczne wykazało, że 92% pacjentów uważa, że zapewnienie poufności danych dotyczących stanu ich zdrowia jest ich prawem, które powinno podlegać ochronie. Łatwiej to powiedzieć, niż zrobić – zwłaszcza w przypadku danych, które w każdej chwili mogą wymagać fizycznego przeniesienia lub udostępnienia.

Chociaż ochrona informacji zdrowotnych może wydawać się mało znaczącą kwestią, ich naruszenie może mieć realne konsekwencje. Na przykład po ataku ransomware w 2021 r. firma Scripps Health była zmuszona do zawarcia ugody na kwotę 3,5 mln dolarów.

Nikogo nie strasząc, należy sobie jasno powiedzieć, że liczba naruszeń danych dotyczących organizacji opieki zdrowotnej wciąż rośnie. Cyberprzestępcy wiedzą, jakie korzyści może przenieść im naruszenie bezpieczeństwa danych medycznych, dlatego rośnie liczba ataków ransomware, a branża opieki zdrowotnej staje się na całym świecie ich strategicznym celem.

Co zatem można zrobić, aby skutecznie zabezpieczyć dane?

Co zatem można zrobić, aby skutecznie zabezpieczyć dane?

Można sprostać temu wyjątkowemu wyzwaniu, a także spełnić wymogi ciągle zmieniających się przepisów, stosując proste rozwiązanie. Polega ono na przyjęciu założenia, że kluczowym elementem strategii bezpieczeństwa każdej organizacji opieki zdrowotnej musi być szyfrowanie danych.

W końcu to, co pozostaje na widoku, można zaatakować albo zabezpieczyć! Warto to wiedzieć, opracowując plan ochrony danych.

Firma Kingston doskonale wie, że właściwa ochrona danych medycznych to poważne zagadnienie. Wdrażając zabezpieczenia tego typu danych oparte na mechanizmach szyfrowania, należy pamiętać o kilku kwestiach. Po pierwsze, trzeba zdawać sobie sprawę, jak ważne jest szyfrowanie danych dla zachowania zgodności z przepisami. Ustawa HIPAA i inne regulacje międzynarodowe, takie jak RODO i CCPA, zawierają wymagania dotyczące szyfrowania danych osobowych. Korzystając z funkcji szyfrowania, organizacje opieki zdrowotnej mogą uchronić się przed konsekwencjami naruszenia danych i zachować zgodność z tymi przepisami.

Jednak nawet szyfrowanie jest złożoną kwestią, ponieważ zwykle występują dwa jego rodzaje: szyfrowanie sprzętowe i szyfrowanie programowe.

Zrozumienie różnicy między szyfrowaniem programowym a szyfrowaniem sprzętowym ma wpływ na bezpieczeństwo danych dotyczących zdrowia pacjentów. Szyfrowanie programowe jest często tańsze we wdrożeniu, ale zapewniane przez nie bezpieczeństwo zależy od systemu hosta. W efekcie jest znacznie bardziej podatne na ataki hakerskie, ponieważ hasła lub klucze odzyskiwania można znaleźć w pamięci systemu hosta i w plikach stronicowania i hibernacji. Ponadto wiele zaszyfrowanych formatów plików można zaatakować z wykorzystaniem darmowych lub niezbyt kosztownych narzędzi programowych dostępnych w Internecie, stosując metodę Brute Force w celu przerwania procesu uwierzytelniania za pomocą hasła. Współczesne komputery są w stanie wykonywać miliard lub więcej prób odgadnięcia hasła na sekundę. Pliki zaszyfrowane programowo mogą być również kopiowane i atakowane równolegle przez sieć komputerów, co jeszcze bardziej skraca czas przeprowadzania ataków Brute Force z użyciem hasła.

Szyfrowanie sprzętowe to dedykowany ekosystem bezpieczeństwa całkowicie zawarty w urządzeniu pamięci masowej – niezależnie od tego, czy jest to pamięć USB, czy zewnętrzny dysk SSD. Szyfrowanie sprzętowe jest zawsze włączone i zawsze chroni dane, podczas gdy każdy może usunąć szyfrowanie programowe, po prostu formatując nośnik pamięci. Dla placówek opieki zdrowotnej oznacza to, że nieuczciwy pracownik może dezaktywować zabezpieczenie i zamienić urządzenie pamięci szyfrowanej programowo w nośnik, z którego można wykraść dane.

Dlatego szyfrowanie sprzętowe jest wielokrotnie bezpieczniejsze, ponieważ nie ujawnia haseł i kluczy szyfrujących w systemie hosta. Większe bezpieczeństwo wiąże się jednak z wyższymi kosztami w porównaniu z niezaszyfrowanymi nośnikami pamięci. Biorąc pod uwagę, że przeciętny koszt naruszenia danych w Stanach Zjednoczonych wynosił w 2022 r. ponad 4,35 mln dolarów{{Footnote.A68763}}, oszczędności uzyskane na zastosowaniu szyfrowania programowego mogą być iluzoryczne w sytuacji, gdy istnieje lepszy sposób na ochronę danych mobilnych – szyfrowane sprzętowo pamięci USB i zewnętrzne dyski SSD z funkcją 256-bitowego szyfrowania XTS-AES, które są zabezpieczone przed atakami metodą Brute Force i BadUSB. W przypadku utraty urządzenia pamięci szyfrowanego sprzętowo można racjonalnie założyć, że pozostanie ono bezpieczne i dzięki silnym zabezpieczeniom będzie nadal chronić poufne dane medyczne.

Linia urządzeń Kingston IronKey z funkcją 256-bitowego szyfrowania sprzętowego w standardzie XTS-AES obejmuje przyjazne w obsłudze nośniki pamięci, które rozwiązują problemy użytkowników związane z bezpieczeństwem. Oferują one funkcję obsługi wielu haseł, aby umożliwić użytkownikowi lub administratorowi odzyskanie dostępu do pamięci w przypadku zapomnienia hasła. Obecnie dostępna jest także alternatywa dla skomplikowanych haseł, których nikt nie jest w stanie zapamiętać. Są to wyrażenia hasłowe o długości do 64 znaków, które mogą być tytułem ulubionej książki lub piosenki, listą słów, wersem z wiersza lub piosenki lub inną frazą, która może być łatwa do zapamiętania przez lekarzy i innych pracowników służby zdrowia, a jednocześnie praktycznie niemożliwa do odgadnięcia przez atakującego metodą Brute Force w ramach ograniczonej blokadą liczby prób wprowadzenia hasła.

Funkcję obsługi wyrażeń hasłowych oferują urządzenia pamięci USB Vault Privacy 50 i 50C oraz zewnętrzne dyski SSD Vault Privacy 80. Urządzenia pamięci z klawiaturą, takie jak Vault Privacy 80ES i Keypad 200, działają w oparciu o kod PIN, który wprowadza się podobnie jak w telefonie komórkowym. Dysk VP80ES obsługuje także funkcję obsługi wyrażeń hasłowych za pomocą przyjaznej w obsłudze klawiatury alfanumerycznej na ekranie dotykowym.

Zestaw różnych szyfrowanych sprzętowo urządzeń pamięci Kingston IronKey. Szyfrowane sprzętowo pamięci USB i dyski SSD.

Wszystkie urządzenia IronKey są dobrze zabezpieczone przed atakami metodą Brute Force z użyciem hasła. Gdy atakujący próbuje odgadnąć hasło, urządzenie zlicza nieudane próby jego wprowadzenia i blokuje hasła użytkownika. Po osiągnięciu limitu prób wprowadzenia hasła administratora zawartość pamięci zostaje automatycznie wymazana, co skutkuje bezpowrotną utratą wszystkich danych. Szyfrowanie programowe nie daje możliwości tak skutecznej ochrony przed tego typu atakami.

Urządzenia pamięci działające niezależne od systemu operacyjnego, takie jak Vault Privacy 80ES i Keypad 200, idealnie nadają się do ochrony danych przenoszonych z urządzeń medycznych do komputerów, co jest powszechną praktyką w przypadku wielu urządzeń używanych w służbie zdrowia. Na przykład wiele urządzeń laboratoryjnych wymaga ręcznego przenoszenia danych do systemu komputerowego dostawcy usług.

Pięciu pracowników służby zdrowia z laptopami na spotkaniu w biurze. W tle widoczna biała tablica. Pracownicy zgromadzeni wokół stołu. Jeden z nich stoi, inni siedzą, jeden uśmiecha się do aparatu.

Oprócz zastosowania urządzeń pamięci z funkcją szyfrowania sprzętowego organizacje opieki zdrowotnej powinny również rozważyć podjęcie dodatkowych działań w celu zwiększenia cyberbezpieczeństwa, takich jak szkolenie pracowników w zakresie najlepszych praktyk, wdrożenie uwierzytelniania wieloskładnikowego czy regularne aktualizowanie oprogramowania i systemów. Nawet w przypadku małych placówek służby zdrowia regularne tworzenie kopii zapasowych na zewnętrznych dyskach SSD z funkcją szyfrowania sprzętowego może zdecydować o tym, czy padną one ofiarą ataków ransomware, czy też będą w stanie szybko przywrócić swoje systemy.

Dzięki zastosowaniu wielowarstwowego podejścia do bezpieczeństwa i wykształceniu u pracowników nawyku codziennej dbałości o ochronę danych organizacje opieki zdrowotnej mogą skutecznie chronić dane pacjentów. Wykorzystanie szyfrowanych sprzętowo urządzeń pamięci Kingston IronKey jako elementu strategii ochrony danych to skuteczny sposób na zapewnienie zgodności z ustawą HIPAA i innymi przepisami dotyczącymi ochrony danych medycznych.

Zachęcamy do zapoznania się z innymi produktami Kingston IronKey, które spełniają potrzeby w zakresie bezpieczeństwa danych medycznych, lub do skorzystania z usługi Zapytaj eksperta, aby uzyskać pomoc w zapewnieniu bezpieczeństwa danych pacjentów.

#KingstonIsWithYou #KingstonIronKey

Ikona usługi Zapytaj eksperta firmy Kingston na płytce drukowanej chipsetu

Zapytaj eksperta

Aby wybrać odpowiednie rozwiązanie, należy poznać cele bezpieczeństwa swojego projektu. Skorzystaj ze wskazówek ekspertów firmy Kingston.

Zapytaj eksperta

Powiązane filmy

Trisha trzymająca duży, 2,5-calowy dysk SSD obok dysków SSD M.2 z kłódką i ikoną Windows 5:02

Szyfrowanie programowe a szyfrowanie sprzętowe

Jaka jest różnica między szyfrowaniem sprzętowym a szyfrowaniem programowym?

Powiązane artykuły

Strona główna bloga