Dati sicuri in transito

L’HIPAA Richiede differente tipologie di software crittografici in base al fatto che i dati siano di tipo “at rest” o “in transito”.

Dati “At rest”: Si tratta di dati non attivi, archiviati su hard drive o SSD, oppure su dispositivi come tablet. Tali dati dovrebbero essere protetti mediante soluzioni di crittografia avanzata per la sicurezza del disco completo/disco virtuale, e per la crittografia su dispositivi mobili (laddove applicabile).

Dati in transito: Si tratta di dati in trasferimento attivo da un mittente verso un destinatario attraverso strumenti come email, piattaforme cloud, oppure tra un server e un dispositivo mobile.

La conformità HIPAA è resa possibile da misure come la crittografia AES-256, pressoché impossibile da violare con attacchi brute force e certificata per la gestione di dati confidenziali dal governo degli Stati Uniti. TLS (Transport Layer Security) è un altro protocollo per la trasmissione sicura dei dati come quelli utilizzati dallo standard HTTPS, email, o IM. Anche tale protocollo utilizza lo standard AES-256, in combinazione con altre misure di sicurezza. Anche OpenPGP (Pretty Good Privacy) e S/MIME sono conformi con i regolamenti HIPAA, ma utilizzano requisiti di gestione delle chiavi pubbliche che molti utenti trovano particolarmente complessi rispetto agli standard AES-256 e TLS 1.2.

In genere la raccomandazione per i sistemi di sicurezza è quella di utilizzare la crittografia AES-256 per i sistemi di sicurezza quando è necessario garantire la sicurezza dei dati “at rest” e la tecnologia TLS per i dati in transito. Tuttavia, Le misure di sicurezza non terminano qui. È importante identificare e mitigare i punti deboli in conformità alle misure di sicurezza HIPAA.

• Personale e formazione (ingegneria sociale ): un aspetto stereotipato della sicurezza, in quanto è vero che gli esseri umani rappresentano l'anello più debole della catena della sicurezza informatica. E ciò vale anche per il settore della sanità
• Dispositivi persi o rubati: come citato in precedenza, laptop drive flash telefoni cellulari o altri dispositivi contenenti ePHI andati persi o rubati, possono causare danni di entità milionaria
• Partner e collaboratori esterni: a questa categoria appartengono tutti i partner esterni come provider di servizi cloud o aziende IT che gestiscono gli ePHI e che sono tenuti a garantire lo stesso livello di attenzione verso la conformità agli standard di sicurezza tecnica adottati dal provider di servizi sanitario dal servizio per il quale essi operano
• Server e sistemi di gestione email non sicuri: se uno qualunque dei dipendenti o collaboratori nella vostra organizzazione utilizza ancora email o client di posta non sicuri, è necessario disattivare tali account
• Crittografia debole: i progressi nel settore informatico in particolare in quelli dell'informatica quantistica, significano che i vecchi standard crittografici , da sempre considerati sufficientemente sicuri virgola in realtà possono esporre gli utenti alle moderne minacce informati
• Chiavi e certificati crittografici stagnanti: le chiavi crittografiche utilizzate oltre gli intervalli di tempo raccomandati dal NIST, oppure l'utilizzo continuato delle medesime chiavi anche dopo la violazione, possono esporre le aziende a violazioni e attacchi

Le misure di sicurezza tecniche indicate dall’HIPAA’s possono essere confuse in quanto i criteri di crittografia vengono definiti come “risolvibili”. L'intero jargon associato alla crittografia PHI eh alquanto vago: “…Le entità sono tenute a implementare un meccanismo per la crittografia PHI laddove lo si ritenga necessario”.

In questo contesto il termine, risolvibile indica una misura di sicurezza o un'alternativa equivalente che dovrebbe essere intrapresa, oppure è necessario fornire una valida ragione per la quale la misura di sicurezza non è stata utilizzata. Per esempio, le comunicazioni interne attraverso un server interno protetto da un firewall potrebbero non presentare alcun rischio per l'integrità PHI contro eventuali sorgenti di interferenze esterne. Tuttavia, le comunicazioni contenenti dati ePHI che non riescono a garantire la protezione di una determinata entità mediante firewall, devono essere risolte attraverso soluzioni di sicurezza risolvibili.

Le organizzazioni possono trasmettere esclusivamente dati EPHI mediante email su reti aperte, quando tali informazioni sono adeguatamente protette. È possibile intraprendere un'analisi dei rischi per determinare il fattore di rischio in termini di confidenzialità, integrità e disponibilità dei dati ePHI, in modo tale che sia possibile delineare un piano di gestione dei rischi adeguato al fine di ridurre tali rischi su livelli gestibili.

La crittografia universale per i messaggi rappresenta un metodo comune per la gestione dei rischi, mediante livelli di protezione che sono equivalenti a quelli utilizzati al posto della crittografia.

Anche persi rubati laptop, drive flash , e cellulari rubati o persi sul luogo di lavoro, possono influenzare negativamente l'integrità PHI. Circa 4 professionisti della sanità su 5 utilizzano un tablet per la gestione dei flussi di lavoro. Proibire l'uso di dispositivi non crittografati nel settore sanitario causerebbe enormi problemi di comunicazione e in altri aspetti operativi del settore sanitario.

Disporre di piattaforme di messaggeria sicura offre una possibile soluzione a questo problema in quanto tali applicazioni sono compatibili con i requisiti crittografici degli standard HIPAA e offrono la crittografia dei dati PHI “at rest” e in transito. In tal modo, le comunicazioni che contengono dati PHI diventano indecifrabili qualora intercettate oppure oggetto di accessi non autorizzati. Le soluzioni di messaggistica sicura non solo sono conformi ai requisiti crittografici per le email HIPAA , ma anche ai requisiti in materia di controllo degli accessi, controllo dei processi di auditing, controllo dell'integrità virgola e autenticazione delle ID. Questa soluzione si dimostra molto più utile rispetto ai tradizionali cercapersone , consentendo la condivisione sicura di informazioni mediche aperta parentesi incluse le immagini chiusa parentesi.

Con il graduale progredire delle tecnologie e la crescente sofisticazione delle minacce informatiche, la necessità di adottare regolamenti di conformità come HIPAE ad altre normative finalizzate alla protezione dei dati sanitari dei pazienti in transito, diventerà sempre più crescente.

#KingstonIsWithYou