Taşınmakta Olan Verilerin Güvenliğini Sağlayın

HIPAA, verilerin ‘saklanan’ ya da ‘taşınan’ olmasına bağlı olarak şifreleme yazılımlarından farklı işlevler gerektirmektedir.

Saklanan: veriler etkin değildir, bir sabit sürücüde veya SSD'de ya da tablet gibi bir cihazda saklanmaktadır. Veriler gelişmiş şifreleme, tam disk/sanal disk güvenliği ve mobil cihaz şifrelemesi (ilgili durumlarda) ile korunmalıdır.

Taşınan: E-posta üzerinden, buluta veya bir sunucu ile mobil cihaz arasında aktarım gibi bir gönderici ile hedef arasında etkin biçimde hareket eder.

HIPAA uyumluluğu, AES-256 gibi Kaba Güç (Brute Force) uygulanması neredeyse imkansız olan ve ABD hükümeti tarafından gizli verilerin işlenmesi için onaylanan önlemlerle sağlanmaktadır. TLS (Transport Layer Security - Taşıma Katmanı Güvenliği), HTTPS, e-posta veya anlık mesajlar gibi güvenli veri iletimi için kullanılan başka bir protokoldür. Diğer güvenlik önlemleriyle birlikte AES-256’yı da kullanır. OpenPGP (Pretty Good Privacy) ve S/MIME da HIPAA ile uyumludur ancak AES-256 ve TLS 1.2'ye göre çoğu kişinin kullanımını zor bulduğu açık anahtar yönetimi gereksinimlerine sahiptir.

Genel öneri, güvenli sistemlerde saklanan veriler için AES-256 şifreleme ve taşınmakta olan veriler için TLS kullanılmasıdır. Ancak bu, güvenlik önlemlerinizin tümü ya da sonu değildir. HIPAA uyumlu güvenliğinizdeki zayıflıkları belirlemek ve azaltmak önemlidir.

• Personel ve eğitim (sosyal mühendislik): klişe bir durumdur çünkü doğrudır: insanlar siber güvenliğin en zayıf halkasıdır ve sağlık sektöründe de durum farklı değildir
• Kaybedilen ya da çalınan cihazlar: daha önce de belirtildiği gibi ePHI içeren kaybolan dizüstü bilgisayarlar, flash sürücüler, telefonlar veya diğer cihazlar ihlal nedeniyle milyon mertebesinde ödemeler yapılmasını gerektirebilir
• Üçüncü taraf iş ortakları: ePHI'yi işleyen herhangi bir üçüncü taraf bulut veya BT tedarikçisi, teknik güvenlik standartları açısından birlikte çalıştıkları sağlık hizmeti sağlayıcısı veya hizmeti ile aynı kararlılığa sahip olmalıdır
• Güvenli olmayan e-posta sistemleri/sunucular: kuruluşunuzda hala güvenli olmayan e-posta istemcileri veya sunucuları kullanan varsa, bunları kapatın
• Zayıf şifreleme: Bilgisayar teknolojisinde, özellikle de kuantum bilişimde yaşanan gelişmeler, uzun zamandır yeterince güvenli olduğu düşünülen eski şifreleme standartlarının aslında modern siber suçlular için tehlikeli derecede açık olabileceğini ortaya koymaktadır
• Değiştirilmeyen şifreleme anahtarları ve sertifikaları: NIST tarafından önerilen kullanım ömrünün ötesinde veya bir veri ihlalinden sonra kullanılan şifreleme anahtarları, kuruluşları tehlikeye açık hale getirebilir

HIPAA'nın teknik koruma önlemleri kafa karıştırıcı olabilir çünkü şifreleme gereklilikleri 'adreslenebilir' olarak adlandırılmaktadır. PHI’nin şifreleme anlatımı belirsizdir: “…varlıklar, gerekli görüldüğü durumlarda PHI’yi şifrelemek için bir mekanizma uygulamalıdır”.

Bu bağlamda, 'adreslenebilir' ifadesi, bir koruma önleminin veya eşdeğer bir alternatifin uygulanması gerektiği veya aksi durumda koruma önleminin neden uygulanmadığına dair haklı bir nedenin belgelenmesi gerektiği anlamına gelmektedir. Örneğin, bir güvenlik duvarı ile korunan dahili bir sunucu üzerinden yapılan kurum içi iletişimler, PHI bütünlüğü açısından dışarından kaynaklanan bir risk ortaya koymayabilir. Ancak, güvenlik duvarları ile korunan bir kuruluştan çıkan ePHI içeren iletişim artık adreslenebilir bir koruma önlemi kullanılarak ele alınmalıdır.

Kuruluşlar ePHI'yi yalnızca bu bilgiler yeterince korunuyorsa açık ağlar üzerinden e-posta yoluyla iletebilir. ePHI'nin gizliliğine, bütünlüğüne ve kullanılabilirliğine yönelik riskleri bulmak için bir risk analizi yapılmalıdır. Bu analizler sayesinde riskleri uygun bir düzeye indirmeye yönelik bir risk yönetimi planı oluşturulabilir.

Mesajlar için evrensel şifreleme yaygın bir risk yönetimi yöntemidir. Bununla birlikte eşdeğer koruma seviyeleri şifreleme yerine kullanılabilir.

PHI’nin bütünlüğüne, kaybolan veya çalınan dizüstü bilgisayarlar ve flash belleklerin yanı sıra işyerindeki kişisel mobil cihazlar da zarar verebilir. 5 sağlık personelinden yaklaşık 4 tanesi iş akışı yönetimi için bir tablet kullanıyor. Forbidding the use of unencrypted devices in healthcare organizations would cause massive disruption to communication and other aspects of the healthcare industry besides.

Güvenli mesajlaşma platformları, PHI'yi hem saklamada hem de taşınma sırasında şifreleyerek HIPAA şifreleme gereksinimlerine uygun olduklarından bu soruna olası bir çözüm sunarlar. PHI içeren iletişimler, yetkisiz bir şekilde ele geçirilir veya bunlara erişilirse deşifre edilemez. Güvenli mesajlaşma çözümleri hem HIPAA e-posta şifreleme gereksinimlerini hem de erişim kontrolü, denetim kontrolleri, bütünlük kontrolleri ve kimlik doğrulama gereksinimlerini karşılar. Bu çözüm, çağrı cihazlarından çok daha kullanışlıdır ve tıbbi bilgilerin (görüntüler dahil) güvenli bir şekilde paylaşılmasını sağlar.

Teknoloji ilerledikçe ve siber suçlar daha gelişmiş hale geldikçe, hastaların korumalı sağlık bilgilerini taşınma sırasında korumak için HIPAA ve diğer yasalara uygunluk gereksinimi daha da katı hale gelecektir.

#KingstonIsWithYou