Hỏi Chuyên gia
Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.
Hỏi Chuyên giaNếu bạn tham gia vào quá trình bảo mật dữ liệu cho các tổ chức y tế, có lẽ bạn sẽ tự hỏi vì sao các quy định và trách nhiệm pháp lý lại có tầm ảnh hưởng lớn đến vậy đối với các công nghệ mà tổ chức bạn chọn dùng cho dữ liệu trong quá trình truyền tải. Trong ngành y tế, một trong những yếu tố trọng yếu nhất về CNTT là tầm quan trọng của việc tuân thủ quy định về bảo mật dữ liệu, như Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (mà chúng ta hay gọi là HIPAA).
Việc nhấn mạnh này không hề vô căn cứ vì cho đến nay, các vụ vi phạm dữ liệu y tế thường dẫn đến nhiều tổn thất về kinh tế nhất, cũng như gây thiệt hại nặng nề nhất về doanh thu và danh tiếng của tổ chức. Mức thiệt hại trung bình đối với một vụ vi phạm dữ liệu trong lĩnh vực y tế đã tăng từ 7,13 triệu đô-la Mỹ vào năm 2020 lên 9,23 triệu đô-la vào năm 2021, so với mức trung bình trên toàn cầu là 3,86 triệu đô-la vào năm 2020 và 4,24 triệu đô-la vào năm 2021.
Quy định HIPAA nghiêm khắc đến mức ngay cả hành vi vi phạm tiềm ẩn cũng sẽ bị xử phạt. Vào năm 2019, Trung tâm Y tế Đại học Rochester (URMC) đã bị mất cắp một chiếc máy tính xách tay và ổ flash không mã hóa. Vụ việc này và cách xử lý của URMC đã gây tiêu tốn đến 3 triệu đô-la Mỹ nộp cho Văn phòng Phụ trách Dân quyền nhằm giải quyết các vụ vi phạm HIPAA tiềm tàng.
HIPAA có ba quy tắc cơ bản để bảo vệ bệnh nhân và thông tin của bệnh nhân:
Những quy tắc này giúp đảm bảo các tổ chức sẽ chịu trách nhiệm về tính bảo mật và an toàn của ePHI (PHI điện tử), cũng như lường trước và bảo vệ dữ liệu khỏi các mối đe dọa. Tuy nhiên, quy tắc không quy định rõ giao thức, công nghệ hay tiêu chuẩn cụ thể cần sử dụng để thực hiện điều đó. Lý do là khi tội phạm mạng phát triển, các công nghệ bảo mật HIPAA cũng phải phát triển theo. Thay vì chỉ định giao thức mã hóa cần sử dụng và khiến hiệu lực của luật suy yếu do bị ràng buộc với các công nghệ cụ thể thì luật chỉ quy định về độ mạnh và độ tin cậy của các tiêu chuẩn bảo mật sử dụng để bảo vệ ePHI. Đây là quyết định được NIST (Viện Khoa học và Công nghệ Quốc gia) tư vấn để đảm bảo luật vẫn có hiệu lực áp dụng trong tương lai. Các tổ chức có thể chọn giải pháp thích hợp nhất với hoàn cảnh của mình và áp dụng vào hệ thống.
HIPAA có những yêu cầu khác nhau đối với phần mềm mã hóa, tùy vào trạng thái là đang lưu trữ’ hay đang truyền’.
Đang lưu trữ: dữ liệu bất hoạt, được lưu trữ trong ổ cứng, ổ SSD hoặc trên một thiết bị như máy tính bảng. Dữ liệu phải được bảo vệ bằng mã hóa nâng cao, chế độ bảo mật toàn bộ ổ đĩa/đĩa ảo và mã hóa thiết bị di động (nếu có thể).
Đang truyền: dữ liệu truyền chủ động giữa người gửi và điểm đến, chẳng hạn như qua email, truyền đến đám mây hoặc truyền giữa máy chủ và thiết bị di động.
Các tổ chức có thể tuân thủ HIPAA thông qua những biện pháp như AES-256. Biện pháp này gần như miễn dịch với tấn công Brute Force và được chính phủ Hoa Kỳ phê duyệt để xử lý dữ liệu mật. TLS (Bảo mật tầng giao vận) là một giao thức khác để truyền dữ liệu bảo mật, chẳng hạn như HTTPS, email hoặc IM. Giao thức này cũng sử dụng AES-256, kết hợp với các biện pháp bảo mật khác. OpenPGP (Pretty Good Privacy) và S/MIME cũng tuân thủ theo HIPAA nhưng hai biện pháp này có yêu cầu về quản lý khóa công khai, khiến nhiều người thấy khó sử dụng hơn so với AES-256 và TLS 1.2.
Khuyến nghị phổ biến là các hệ thống bảo mật sử dụng mã hóa AES-256 cho dữ liệu đang lưu trữ và TLS cho dữ liệu đang truyền đi. Tuy nhiên, đây không phải là yếu tố thiết yếu nhất trong các biện pháp bảo mật. Điều quan trọng là cần xác định và giảm thiểu điểm yếu trong lớp bảo mật tuân thủ HIPAA của bạn.
Các biện pháp bảo vệ kỹ thuật của HIPAA có thể gây bối rối vì các yêu cầu mã hóa được gọi là khả định’. Cách diễn đạt về mã hóa PHI rất mơ hồ: “… các tổ chức cần triển khai cơ chế mã hóa PHI bất cứ khi nào được xem là thích hợp”.
Trong ngữ cảnh này, khả định’ nghĩa là tổ chức cần triển khai biện pháp bảo vệ hoặc biện pháp thay thế tương đương, nếu không thì phải ghi lại lý do chính đáng vì sao không sử dụng biện pháp bảo vệ. Ví dụ: thông tin liên lạc nội bộ gửi qua máy chủ nội bộ có tường lửa bảo vệ sẽ không khiến tính toàn vẹn của PHI chịu rủi ro từ các nguồn bên ngoài. Tuy nhiên, khi thông tin liên lạc có chứa ePHI rời khỏi tổ chức có tường lửa bảo vệ, thông tin đó phải được xử lý bằng biện pháp bảo vệ khả định.
Các tổ chức chỉ có thể truyền ePHI qua email thông qua mạng mở nếu thông tin đó được bảo vệ đầy đủ. Cần tiến hành phân tích rủi ro để tìm ra các rủi ro gây ảnh hưởng đến tính bảo mật, tính toàn vẹn và tình trạng sẵn có của ePHI để đưa ra kế hoạch quản lý rủi ro, mục đích là để giảm rủi ro xuống mức độ thích hợp.
Mã hóa tin nhắn chung là một phương pháp quản lý rủi ro phổ biến, dù tổ chức cũng có thể sử dụng các mức độ bảo vệ tương đương thay vì mã hóa.
Cũng giống như máy tính xách tay và ổ flash bị mất hoặc đánh cắp, các thiết bị di động cá nhân ở nơi làm việc có thể làm suy yếu tính toàn vẹn của PHI. Cứ 5 chuyên gia y tế thì có 4 người sử dụng máy tính bảng để quản lý quá trình làm việc. Việc cấm sử dụng thiết bị không mã hóa trong các tổ chức y tế sẽ gây gián đoạn thông tin liên lạc nghiêm trọng, cũng như ảnh hưởng đến các khía cạnh khác của ngành y tế.
Giải pháp khả thi cho vấn đề này là sử dụng các nền tảng nhắn tin bảo mật. Những nền tảng này mã hóa PHI cả khi đang lưu trữ và khi truyền, từ đó tuân thủ theo các yêu cầu mã hóa HIPAA. Thông tin liên lạc có chứa PHI không thể giải mã được nếu bị chặn hoặc truy cập trái phép. Các giải pháp nhắn tin bảo mật không chỉ đáp ứng yêu cầu mã hóa email HIPAA mà còn cả các yêu cầu về kiểm soát truy cập, kiểm soát kiểm tra, kiểm soát tính toàn vẹn và xác thực ID. Giải pháp này hữu ích hơn nhiều so với máy nhắn tin, cho phép chia sẻ thông tin y tế (bao gồm cả hình ảnh) một cách bảo mật.
Khi công nghệ tiến triển và tội phạm mạng ngày càng tinh vi hơn, nhu cầu tuân thủ quy định HIPAA và các luật khác để bảo vệ thông tin y tế bảo mật của bệnh nhân khi đang truyền đi sẽ ngày càng được đề cao hơn.
#KingstonIsWithYou
Lên kế hoạch cho giải pháp phù hợp yêu cầu phải có sự hiểu biết về các mục tiêu bảo mật của dự án. Hãy để các chuyên gia của Kingston hướng dẫn cho bạn.
Hỏi Chuyên gia