ถามผู้เชี่ยวชาญ
การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ
ถามผู้เชี่ยวชาญหากคุณมีส่วนเกี่ยวข้องในการรักษาความปลอดภัยของข้อมูลสำหรับหน่วยงานด้านการแพทย์ คุณอาจสงสัยว่าเหตุใดกฎระเบียบและข้อบังคับทางกฎหมายจึงมีบทบาทสำคัญต่อเทคโนโลยีสำหรับข้อมูลที่มีการเคลื่อนย้ายที่องค์กรของคุณเลือกใช้ หนึ่งในปัจจัยสำคัญที่สร้างความกังวลที่สุดในด้าน IT สำหรับวงการด้านสุขภาพคือความสำคัญของการปฏิบัติตามข้อบังคับด้านการรักษาความปลอดภัยของข้อมูล เช่น Healthcare Insurance Portability and Accountability Act (หรือ HIPAA)
ซึ่งความกังวลนั้นก็ไม่ได้ไร้เหตุผลไปเสียทีเดียว การละเมิดข้อมูลด้านการแพทย์มักก่อให้เกิดค่าใช้จ่ายและความเสียหายต่อรายได้และชื่อเสียงขององค์กรอย่างมาก ค่าใช้จ่ายโดยเฉลี่ยของกรณีการละเมิดข้อมูลในวงการด้านสุขภาพเพิ่มขึ้นจาก 7.13 ล้านดอลลาร์สหรัฐฯ ในปี 2020 เป็น 9.23 ล้านดอลลาร์สหรัฐฯ ในปี 2021, เมื่อเทียบกับค่าเฉลี่ยทั่วโลกที่ 3.86 ล้านดอลลาร์สหรัฐฯ ในปี 2020 และ 4.24 ล้านดอลลาร์สหรัฐฯ ในปี 2021
HIPAA ยังมีการกำหนดบทลงโทษแม้ในกรณีที่เป็นเพียงการละเมิดข้อกำหนดที่อาจเกิดขึ้น แสดงให้เห็นว่าข้อกำหนดนี้มีความเข้มงวดอย่างยิ่ง ในปี 2019 มีโน้ตบุ๊กและแฟลชไดรฟ์ที่ไม่มีการเข้ารหัสถูกขโมยไปจาก The University of Rochester Medical Center เหตุการณ์ดังกล่าวและแนวทางการจัดการของ URMC ทำให้ต้องมีการจ่ายเงินถึง 3 ล้านดอลลาร์สหรัฐฯ ให้แก่สำนักงานเพื่อสิทธิของพลเมืองอันเนื่องมาจากเหตุการณ์ที่อาจเป็นการละเมิดข้อกำหนด HIPAA
HIPAA มีกฎพื้นฐานสามประการในการปกป้องผู้ป่วยและข้อมูลของผู้ป่วย ได้แก่
กฎระเบียบเหล่านี้ช่วยให้มั่นใจว่าองค์กรต่างๆ จะรับผิดชอบต่อการรักษาความลับและความปลอดภัยสำหรับ ePHI (PHI อิเล็กทรอนิกส์) รวมถึงการคาดการณ์และป้องกันภัยคุกคามที่อาจเกิดขึ้นกับข้อมูล ทั้งนี้ กฎระเบียบเหล่านี้ไม่ได้เป็นการกำหนดระเบียบปฏิบัติ เทคโนโลยี หรือมาตรฐานในการดำเนินการที่ชัดเจน เนื่องจากภัยคุกคามทางไซเบอร์มีการพัฒนาอยู่ตลอด เทคโนโลยีรักษาความปลอดภัยของ HIPAA จึงจะต้องพัฒนาตามไปด้วย แทนที่จะระบุว่าโปรโตคอลเข้ารหัสใดที่มีความจำเป็นซึ่งเป็นขั้นตอนที่ทำให้ประสิทธิภาพในการบังคับใช้กฎหมายลดลงจากการผูกโยงกฎหมายไว้กับเทคโนโลยีตัวใดเป็นการเฉพาะ กฎหมายนี้ระบุเพียงประสิทธิภาพและความน่าเชื่อถือของมาตรฐานที่ใช้ในการปกป้อง ePHI เท่านั้น โดยเป็นการดำเนินการภายใต้คำแนะนำของ NIST (National Institute of Science and Technology) เพื่อให้กฎหมายพร้อมรองรับการใช้งานในอนาคตมากยิ่งขึ้น หน่วยงานต่างๆ จึงสามารถเลือกแนวทางที่เหมาะสมที่สุดตามสถานการณ์ให้กับระบบการทำงานของตนได้
HIPAA ได้กำหนดประเด็นปลีกย่อยต่างๆ เกี่ยวกับซอฟต์แวร์เข้ารหัสตามรูปแบบของข้อมูล ได้แก่ ข้อมูลที่พักอยู่’ หรือ ข้อมูลที่มีการเคลื่อนย้าย’
ข้อมูลที่พักอยู่: หมายถึงข้อมูลที่ยังไม่ได้ใช้งาน และมีการจัดเก็บไว้ในฮาร์ดไดรฟ์หรือ SSD หรือในอุปกรณ์อื่นๆ เช่น แท็บเล็ต ข้อมูลควรได้รับการป้องกันโดยระบบการเข้ารหัสขั้นสูง ระบบรักษาความปลอดภัยแบบครอบคลุมทั้งไดรฟ์/กับไดรฟ์เสมือนจริง และระบบเข้ารหัสอุปกรณ์พกพา (หากสามารถทำได้)
ข้อมูลที่มีการเคลื่อนย้าย: ข้อมูลที่มีการเคลื่อนย้ายระหว่างผู้ส่งและปลายทาง เช่น ข้อมูลที่ส่งทางอีเมล ข้อมูลที่ส่งผ่านคลาวด์ หรือข้อมูลที่นำส่งระหว่างเซิร์ฟเวอร์และอุปกรณ์พกพา
การควบคุมมาตรฐานภายใต้ HIPAA สามารถทำได้โดยอาศัยมาตรการต่างๆ เช่น AES-256 ซึ่งทำให้การโจมตีด้วยการเดารหัสเป็นไปได้ยาก และเป็นกระบวนการที่รับรองสำหรับการจัดการข้อมูลโดยรัฐบาลสหรัฐฯ TLS (Transport Layer Security) เป็นอีกหนึ่งโปรโตคอลสำหรับการถ่ายโอนข้อมูลแบบปลอดภัย เช่น HTTPS อีเมลหรือ IMS นอกจากนี้ยังมีการใช้ AES-256 ร่วมกับมาตรการรักษาความปลอดภัยอื่น ๆ OpenPGP (Pretty Good Privacy) และ S/MIME ก็เป็นไปตามมาตรฐานของ HIPAA เช่นกัน แต่จะมีเงื่อนไขด้านการจัดการคีย์สาธารณะที่อาจเป็นอุปสรรคในการใช้งานมากกว่าเมื่อเทียบกับ AES-256 และ TLS 1.2
แนะนำในเบื้องต้นคือระบบที่มีความปลอดภัยควรใช้การเข้ารหัส AES 256 สำหรับข้อมูลที่พักอยู่ และ TLS สำหรับข้อมูลที่มีการเคลื่อนย้าย อย่างไรก็ตาม มาตรการรักษาความปลอดภัยนี้ไม่ควรเป็นมาตรการเดียวที่คุณเลือกใช้ สิ่งสำคัญคือการระบุและหาทางแก้จุดอ่อนต่าง ๆ ในระบบรักษาความปลอดภัยภายใต้มาตรฐาน HIPAA ของคุณ
มาตรการป้องกันด้านเทคนิคของ HIPAA อาจเป็นประเด็นที่น่าสับสนเนื่องจากข้อกำหนดในการเข้ารหัสคือสิ่งที่ จะต้องชี้แจงได้’ คำศัพท์ที่ใช้ในการเข้ารหัสสำหรับ PHI มักมีความหมายที่ไม่ชัดเจน เช่น “…หน่วยงานควรกำหนดกลไกในการเข้ารหัส PHI ตามที่เห็นสมควร”
ในบริบทนี้ ที่ชี้แจงได้’ จะหมายถึงควรมีการนำมาตรการป้องกันหรือทางเลือกอื่นที่เทียบเท่ามาใช้ มิฉะนั้นจะต้องมีบันทึกระบุสาเหตุให้ชัดเจนว่าเหตุใดจึงมีการละเว้นมาตรการป้องกันเกิดขึ้น เช่น การสื่อสารภายในผ่านเซิร์ฟเวอร์ภายในจะได้รับการป้องกันโดยไฟร์วอลล์ซึ่งช่วยป้องกันความเสี่ยงจากบุคคลภายนอกต่อข้อมูล PHI อย่างไรก็ตาม การสื่อสารที่มี ePHI ที่ต้องส่งข้อมูลออกไปภายนอกโดยได้รับการปกป้องจากไฟร์วอลล์จะต้องมีการจัดการเพิ่มเติมผ่านระบบป้องกันที่สามารถชี้แจงได้
หน่วยงานต่างๆ จะต้องส่ง ePHI ผ่านทางอีเมลแทนเครือข่ายแบบเปิดสาธารณะ หากข้อมูลมีการป้องกันมากเพียงพอ การวิเคราะห์ความเสี่ยงควรมีขึ้นเพื่อพิจารณาปัจจัยเสี่ยงด้านการรักษาความลับ ความสมบูรณ์และความพร้อมของข้อมูล ePHI เพื่อให้สามารถกำหนดแผนจัดการความเสี่ยงและลดความเสี่ยงให้อยู่ในระดับที่เหมาะสมได้
การเข้ารหัสแบบสากลสำหรับข้อความต่างๆ เป็นวิธีในการจัดการความเสี่ยงที่ใช้กันอย่างแพร่หลาย โดยการใช้ระดับการป้องกันต่างๆ ที่ใกล้เคียงกันและสามารถนำมาใช้แทนการเข้ารหัสได้
นอกจากนี้ โน้ตบุ๊กและแฟลชไดรฟ์ที่สูญหายหรือถูกขโมย หรือแม้แต่อุปกรณ์พกพาส่วนบุคคลที่ใช้ในที่ทำงานก็อาจส่งผลกระทบต่อ PHI ได้ทั้งสิ้น บุคลากรด้านสุขภาพ 4 จาก 5 รายเลือกใช้แท็บเล็ตในการจัดการระบบงาน การห้ามใช้อุปกรณ์ที่ไม่มีการเข้ารหัสในองค์กรด้านสุขภาพอาจทำให้เกิดอุปสรรคในด้านการสื่อสารอย่างมาก และกระทบต่อส่วนอื่นๆ ในกระบวนการให้บริการด้านสุขภาพ
แพลตฟอร์มรับส่งข้อความที่มีการรักษาความปลอดภัยเป็นทางเลือกที่เป็นไปได้ในการแก้ไขปัญหานี้ เนื่องจากแพลตฟอร์มเป็นไปตามข้อกำหนดในการเข้ารหัสของ HIPAA โดยมีการเข้ารหัส PHI ให้กับข้อมูลที่พักอยู่และข้อมูลที่มีการเคลื่อนย้าย ข้อมูลสื่อสารที่มี PHI มักไม่สามารถถอดรหัสได้หากถูกแทรกแซงหรือสืบค้นโดยไม่ได้รับอนุญาต โซลูชันการรับส่งข้อความที่ปลอดภัยนั้นไม่เพียงแต่จะเป็นไปตามข้อกำหนดการเข้ารหัสสำหรับอีเมลโดย HIPAA แต่ยังเป็นไปตามข้อกำหนดในการควบคุมการใช้งาน การควบคุมการตรวจสอบ การควบคุมความสมบูรณ์ของข้อมูล และการยืนยันตัวตน โซลูชันเหล่านี้มีประโยชน์มากกว่าเป็นแค่ตัวกลางรับส่ง โดยทำให้สามารถเผยแพร่ข้อมูลด้านการแพทย์ (รวมทั้งรูปภาพต่างๆ) ได้อย่างปลอดภัย
เทคโนโลยีที่พัฒนาอย่างต่อเนื่องและอาชญากรรมไซเบอร์ที่พัฒนาอย่างไม่หยุดยั้งและมีความซับซ้อนขึ้นเรื่อยๆ ทำให้การดำเนินการตามข้อกำหนด HIPAA และกฎหมายอื่นๆ เพื่อปกป้องข้อมูลด้านสุขภาพของผู้ป่วยที่มีการเคลื่อนย้ายนั้นเป็นสิ่งที่จำเป็นมากขึ้นเรื่อยๆ
#KingstonIsWithYou
การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ
ถามผู้เชี่ยวชาญ