Chiedete a un esperto
La definizione della soluzione più adeguata richiede un'approfondita conoscenza degli obiettivi di sicurezza dei progetti. Lasciatevi guidare dagli esperti Kingston.
Chiedete a un espertoSe vi occupate di sicurezza dei dati per le aziende del settore sanitario, uno degli aspetti su cui riflettere consiste nel capire perché regolamenti e responsabilità legali giocano un ruolo così fondamentale nell’influenzare le tecnologie dei dati in transito scelte dalle organizzazioni. Uno dei principali fattori di stress per i team IT operanti nel settore sanitario è costituito dall’importanza della conformità ai regolamenti in materia di sicurezza dei dati, come l’HIPAA (Healthcare Insurance Portability and Accountability Act).
Questa forma di stress non è interamente motivata; le violazioni dei dati sanitari sono generalmente molto più costose età annose in termini di mancati profitti e danni alla reputazione aziendale. ì Il costo medio di una violazione dei dati nel settore della sanità è cresciuto da US$ 7,13 milioni nel 2020, a $9,23 milioni nel 2021. Tale dato è in contrasto con la media globale pari a $3,86 milioni nel 2020 e $4,24 milioni nel 2021.
Il regolamento è talmente rigido che vengono punite anche le potenziali violazioni alle norme HIPAA. Nel 2019, un laptop e un drive flash non crittografati sono stati rubati dall'università del Rochester Medical Center. Questo evento e il modo in cui URMC lo ha gestito, richiesto un esborso pari a tre milioni di dollari all’Office for Civil Rights in una disputa incentrata su potenziali violazioni del regolamento HIPAA.
HIPAA Utilizza tre regole di fondo per tutelare i pazienti le loro informazioni:
Queste regole garantiscono che le organizzazioni siano responsabili in materia di sicurezza e confidenzialità ePHI (PHI elettronico), nonché prevenire e proteggere utenti e dati da eventuali minacce. Tuttavia, tali regolamenti non specificano alcun protocollo, tecnologia, o standard per l'implementazione e la conformità a tali regolamenti. ciò accade in quanto la costante evoluzione delle minacce informatiche e tale età richiedere una corrispondente costante evoluzione delle tecnologie utilizzate per la conformità agli standard HIPAA. Anziché specificare le tipologie di protocolli di crittografia necessari, una procedura che avrebbe negativamente influenzato l'efficacia della legge vincolandola a tecnologie specifiche, la legislazione si limita a definire i criteri di resistenza e affidabilità degli standard di sicurezza utilizzati per garantire la protezione in ambito ePHI. Tale approccio è stato raccomandato dal NIST (the National Institute of Science and Technology), al fine di garantire l'efficacia presente e futura della normativa. In tal modo, organizzazioni e aziende possono selezionare la soluzione più adeguata alle loro esigenze applicandola ai loro sistemi.
L’HIPAA Richiede differente tipologie di software crittografici in base al fatto che i dati siano di tipo “at rest” o “in transito”.
Dati “At rest”: Si tratta di dati non attivi, archiviati su hard drive o SSD, oppure su dispositivi come tablet. Tali dati dovrebbero essere protetti mediante soluzioni di crittografia avanzata per la sicurezza del disco completo/disco virtuale, e per la crittografia su dispositivi mobili (laddove applicabile).
Dati in transito: Si tratta di dati in trasferimento attivo da un mittente verso un destinatario attraverso strumenti come email, piattaforme cloud, oppure tra un server e un dispositivo mobile.
La conformità HIPAA è resa possibile da misure come la crittografia AES-256, pressoché impossibile da violare con attacchi brute force e certificata per la gestione di dati confidenziali dal governo degli Stati Uniti. TLS (Transport Layer Security) è un altro protocollo per la trasmissione sicura dei dati come quelli utilizzati dallo standard HTTPS, email, o IM. Anche tale protocollo utilizza lo standard AES-256, in combinazione con altre misure di sicurezza. Anche OpenPGP (Pretty Good Privacy) e S/MIME sono conformi con i regolamenti HIPAA, ma utilizzano requisiti di gestione delle chiavi pubbliche che molti utenti trovano particolarmente complessi rispetto agli standard AES-256 e TLS 1.2.
In genere la raccomandazione per i sistemi di sicurezza è quella di utilizzare la crittografia AES-256 per i sistemi di sicurezza quando è necessario garantire la sicurezza dei dati “at rest” e la tecnologia TLS per i dati in transito. Tuttavia, Le misure di sicurezza non terminano qui. È importante identificare e mitigare i punti deboli in conformità alle misure di sicurezza HIPAA.
Le misure di sicurezza tecniche indicate dall’HIPAA’s possono essere confuse in quanto i criteri di crittografia vengono definiti come “risolvibili”. L'intero jargon associato alla crittografia PHI eh alquanto vago: “…Le entità sono tenute a implementare un meccanismo per la crittografia PHI laddove lo si ritenga necessario”.
In questo contesto il termine, risolvibile indica una misura di sicurezza o un'alternativa equivalente che dovrebbe essere intrapresa, oppure è necessario fornire una valida ragione per la quale la misura di sicurezza non è stata utilizzata. Per esempio, le comunicazioni interne attraverso un server interno protetto da un firewall potrebbero non presentare alcun rischio per l'integrità PHI contro eventuali sorgenti di interferenze esterne. Tuttavia, le comunicazioni contenenti dati ePHI che non riescono a garantire la protezione di una determinata entità mediante firewall, devono essere risolte attraverso soluzioni di sicurezza risolvibili.
Le organizzazioni possono trasmettere esclusivamente dati EPHI mediante email su reti aperte, quando tali informazioni sono adeguatamente protette. È possibile intraprendere un'analisi dei rischi per determinare il fattore di rischio in termini di confidenzialità, integrità e disponibilità dei dati ePHI, in modo tale che sia possibile delineare un piano di gestione dei rischi adeguato al fine di ridurre tali rischi su livelli gestibili.
La crittografia universale per i messaggi rappresenta un metodo comune per la gestione dei rischi, mediante livelli di protezione che sono equivalenti a quelli utilizzati al posto della crittografia.
Anche persi rubati laptop, drive flash , e cellulari rubati o persi sul luogo di lavoro, possono influenzare negativamente l'integrità PHI. Circa 4 professionisti della sanità su 5 utilizzano un tablet per la gestione dei flussi di lavoro. Proibire l'uso di dispositivi non crittografati nel settore sanitario causerebbe enormi problemi di comunicazione e in altri aspetti operativi del settore sanitario.
Disporre di piattaforme di messaggeria sicura offre una possibile soluzione a questo problema in quanto tali applicazioni sono compatibili con i requisiti crittografici degli standard HIPAA e offrono la crittografia dei dati PHI “at rest” e in transito. In tal modo, le comunicazioni che contengono dati PHI diventano indecifrabili qualora intercettate oppure oggetto di accessi non autorizzati. Le soluzioni di messaggistica sicura non solo sono conformi ai requisiti crittografici per le email HIPAA , ma anche ai requisiti in materia di controllo degli accessi, controllo dei processi di auditing, controllo dell'integrità virgola e autenticazione delle ID. Questa soluzione si dimostra molto più utile rispetto ai tradizionali cercapersone , consentendo la condivisione sicura di informazioni mediche aperta parentesi incluse le immagini chiusa parentesi.
Con il graduale progredire delle tecnologie e la crescente sofisticazione delle minacce informatiche, la necessità di adottare regolamenti di conformità come HIPAE ad altre normative finalizzate alla protezione dei dati sanitari dei pazienti in transito, diventerà sempre più crescente.
#KingstonIsWithYou
La definizione della soluzione più adeguata richiede un'approfondita conoscenza degli obiettivi di sicurezza dei progetti. Lasciatevi guidare dagli esperti Kingston.
Chiedete a un esperto