Безпека даних при передачі

HIPAA вимагає використання різних програм для шифрування залежно від того, чи перебувають дані в сховищі або в процесі передачі.

У сховищі: дані неактивні, зберігаються на жорсткому диску або твердотільному накопичувачі, або на пристрої, зокрема планшеті. Дані мають бути захищені за допомогою просунутих криптографічних алгоритмів, системи захисту всього диска/віртуального диска та шифрування мобільних пристроїв (за наявності).

При передачі: активне переміщення даних між відправником і одержувачем, наприклад за допомогою електронної пошти, передавання даних у хмару або між сервером і мобільним пристроєм.

Забезпечення відповідності вимогам HIPAA стало можливим завдяки алгоритму шифрування AES-256, який майже неможливо зламати. Цей алгоритм було схвалено урядом США для роботи з конфіденційними даними. TLS (Transport Layer Security) — це ще один протокол для безпечної передачі даних в Інтернеті, як-от HTTPS, електронна пошта або миттєві повідомлення. У ньому також використовується алгоритм шифрування AES-256 у поєднанні з іншими заходами безпеки. Стандарти OpenPGP (Pretty Good Privacy) і S/MIME також відповідають вимогам HIPAA, але вони використовують криптографію з відкритим ключем, яку багато хто вважає більш складною, аніж AES-256 і TLS 1.2.

Однією з найпоширеніших рекомендацій для захищених систем є використання алгоритму шифрування AES-256 для даних у стані спокою та протоколу TLS для даних при передачі. Проте ці заходи безпеки не є панацеєю. Необхідно виявити та усунути слабкі місця в системі безпеки, що відповідає вимогам HIPAA.

• Персонал і навчання (соціальна інженерія): це може здатися банальним, але люди є найслабшою ланкою кібербезпеки, і сфера охорони здоров’я не є виключенням
• Втрачені або вкрадені пристрої: як вже згадувалося раніше, втрачені ноутбуки, флеш-накопичувачі, телефони або інші пристрої, що містять чутливу інформацію, можуть призвести до збитків, які сягатимуть семизначних чисел
• Сторонні партнери: будь-який сторонній постачальник хмарних або ІТ-послуг, який працює з чутливою інформацією, повинен дотримуватися технічних стандартів безпеки так само, як і постачальник медичних послуг, з яким він співпрацює
• Незахищені поштові системи/сервери: якщо будь-хто у вашій організації все ще використовує незахищені поштові клієнти або сервери, деактивуйте їх
• Слабке шифрування: впровадження передових комп’ютерних технологій, особливо в галузі квантових обчислень, означає, що старі стандарти шифрування, які довгий час вважалися досить безпечними, насправді можуть бути вразливими до сучасних кібератак
• Недійсні ключі шифрування та сертифікати: ключі шифрування, що використовуються після закінчення терміну дії, рекомендованого NIST, або після витоку даних, можуть поставити під загрозу безпеку організації

Технічні захисні заходи HIPAA можуть збивати з пантелику, оскільки вимоги до шифрування називають «адресними». Формулювання, що стосується шифрування даних пацієнтів, є розпливчатим: «...організації мають впровадити механізм для шифрування даних пацієнтів, коли вони вважають це за доцільне».

У цьому контексті «адресний» означає, що має бути застосований захисний захід чи еквівалентний альтернативний захід, або ж має бути задокументована обґрунтована причина, чому цей захисний захід не був застосований. Наприклад, обмін повідомленнями через внутрішній сервер, захищений брандмауером, не загрожує цілісності даних пацієнтів із зовнішніх джерел. Але повідомлення, які містять дані пацієнтів та використовуються за межами корпоративної мережі, захищеної брандмауером, тепер повинні оброблятися за допомогою адресних захисних заходів.

Організації можуть передавати дані пацієнтів електронною поштою у відкритих мережах лише в тому разі, якщо ця інформація захищена належним чином. Необхідно провести аналіз ризиків і виявити загрози для конфіденційності, цілісності та доступності даних пацієнтів, щоб мати змогу розробити план керування ризиками для зменшення цих загроз до відповідного рівня.

Універсальне шифрування повідомлень є одним із найпоширеніших методів керування ризиками, хоча замість шифрування можна задіяти еквівалентні рівні захисту.

Окрім втрачених або вкрадених ноутбуків і флеш-накопичувачів, особисті мобільні пристрої на робочому місці також можуть порушити цілісність даних пацієнтів. Приблизно 4 з 5 медичних працівників використовують планшет для керування робочим процесом. Заборона на використання нешифрованих пристроїв у медичних установах може призвести до значних ускладнень в роботі систем обміну повідомленнями та створити додаткові проблеми в галузі охорони здоров’я.

Платформи безпечного обміну повідомленнями можуть допомогти вирішити цю проблему, оскільки вони відповідають вимогам HIPAA щодо шифрування: захищена медична інформація шифрується як у сховищі, так і при передачі. Повідомлення, що містять дані пацієнтів, неможливо розшифрувати в разі перехоплення інформації або отримання несанкціонованого доступу до неї. Системи безпечного обміну повідомленнями відповідають не лише вимогам HIPAA щодо шифрування листів електронної пошти, але й вимогам щодо контролю доступу, керування аудитом, забезпечення цілісності та автентифікації за ідентифікатором. Це рішення для безпечного обміну медичною інформацією (включно із зображеннями) виявилося набагато кориснішим за пейджери.

У зв’язку із постійним вдосконаленням технологій і зростанням рівня витонченості атак все більше уваги приділяється необхідності дотримання вимог HIPAA та інших законодавчих актів, які стосуються захисту медичних даних при передачі.

#KingstonIsWithYou