Bezpieczeństwo przenoszonych danych

Ustawa HIPAA wymaga użycia elementów oprogramowania szyfrującego w zależności od tego, czy dane są „w spoczynku” czy „w ruchu”.

W spoczynku: dane są nieaktywne i przechowywane na dysku twardym, dysku SSD lub w urządzeniu takim jak tablet. Dane powinny być chronione przez zaawansowane szyfrowanie, pełne zabezpieczenie dysku/dysku wirtualnego oraz szyfrowanie urządzenia mobilnego (w stosownych przypadkach).

W ruchu: aktywny przepływ danych między nadawcą a odbiorcą, np. za pośrednictwem poczty e-mail, poprzez transmisję do chmury lub transmisję między serwerem a urządzeniem mobilnym.

Zapewnienie zgodności z HIPAA jest możliwe dzięki takim rozwiązaniom, jak szyfrowanie AES-256 – praktycznie niemożliwe do złamania metodą Brute Force i zatwierdzone do zabezpieczania poufnych danych przez rząd USA. TLS (Transport Layer Security) to kolejny standard umożliwiający bezpieczną transmisję danych z wykorzystaniem takich narzędzi, jak protokół HTTPS, poczta elektroniczna czy komunikatory. On również wykorzystuje szyfrowanie AES-256 w połączeniu z innymi środkami bezpieczeństwa. Z wymogami HIPAA zgodne są także standardy OpenPGP (Pretty Good Privacy) oraz S/MIME, jednak wiele osób uważa ich wymagania dotyczące zarządzania kluczami publicznymi – w porównaniu ze standardami AES-256 i TLS 1.2 – za zbyt czasochłonne do spełnienia.

Powszechnie zaleca się, aby bezpieczne systemy korzystały z szyfrowania AES-256 do przechowywania danych (w spoczynku) oraz TLS do przesyłania danych (w ruchu). Nie jest to jednak jedyny i najważniejszy element środków bezpieczeństwa. Istotne jest, aby zidentyfikować i ograniczyć słabości systemu bezpieczeństwa, który ma być zgodnych z wymogami HIPAA.

• Personel i szkolenia (inżynieria społeczna): ludzie są najsłabszym ogniwem w systemie cyberbezpieczeństwa, a branża opieki zdrowotnej nie jest tu wyjątkiem
• Zgubione lub skradzione urządzenia: jak wspomniano wcześniej, zgubione laptopy, pendrive'y, telefony i inne urządzenia zawierające dane ePHI mogą kosztować organizację siedmiocyfrowe kwoty
• Partnerzy zewnętrzni: każdy zewnętrzny dostawca usług w chmurze lub usług IT, który obsługuje dane ePHI, musi spełniać takie same standardy bezpieczeństwa technicznego jak dostawca usług opieki zdrowotnej lub usługa, z którą ma do czynienia
• Niezabezpieczone systemy/serwery poczty e-mail: jeśli ktoś w Twojej organizacji nadal korzysta z niezabezpieczonych klientów lub serwerów poczty elektronicznej, wyłącz je
• Słabe szyfrowanie: przełomowe technologie komputerowe, a zwłaszcza komputery kwantowe, sprawiają, że dotychczasowe standardy szyfrowania, które długo uważano za wystarczająco bezpieczne, mogą w rzeczywistości okazać się łatwe do złamania dla cyberprzestępców
• Przestarzałe klucze szyfrowania i certyfikaty: korzystanie przez organizację z kluczy szyfrowania po upływie okresu użytkowania zalecanego przez NIST lub po naruszeniu danych może narazić ją na zagrożenie

Wymagania HIPAA dotyczące zabezpieczeń technicznych mogą być mylące, ponieważ w kontekście szyfrowania używa się określenia „adresowalne”. Sformułowanie dotyczące szyfrowania chronionych informacji zdrowotnych (PHI) jest niejasne: „…podmioty powinny wdrożyć mechanizm szyfrowania danych PHI, gdy uznają to za stosowne”.

W tym kontekście „adresowalny” oznacza, że należy wdrożyć zabezpieczenie lub równoważne alternatywne rozwiązanie bądź udokumentować uzasadniony powód, dla którego nie zastosowano zabezpieczenia. Na przykład komunikacja wewnętrzna za pośrednictwem wewnętrznego serwera chronionego przez zaporę firewall może nie stanowić zagrożenia dla integralności danych PHI ze źródeł zewnętrznych. Jednak komunikacja obejmująca dane ePHI, która wychodzi poza podmiot chroniony przez zapory sieciowe, musi być obecnie realizowana z wykorzystaniem adresowalnego zabezpieczenia.

Podmioty mogą przesyłać dane ePHI pocztą e-mail za pośrednictwem sieci otwartych tylko wtedy, gdy informacje te są odpowiednio chronione. Należy przeprowadzić analizę ryzyka, aby określić zagrożenia dla poufności, integralności i dostępności danych ePHI, tak aby można było opracować plan zarządzania ryzykiem w celu zmniejszenia tych zagrożeń do odpowiedniego poziomu.

Uniwersalne szyfrowanie wiadomości jest powszechnie stosowaną metodą zarządzania ryzykiem, chociaż zamiast szyfrowania można użyć innych, równoważnych zabezpieczeń.

Podobnie jak zgubione lub skradzione laptopy i urządzenia pamięci flash także osobiste urządzenia mobilne mogą przyczynić się do naruszenia integralności danych PHI. Około 4 na 5 pracowników służby zdrowia używa tabletu do zarządzania procesem pracy. Poza tym zakaz używania nieszyfrowanych urządzeń w organizacjach opieki zdrowotnej spowodowałby duże zakłócenia w komunikacji i innych aspektach działania branży opieki zdrowotnej.

Potencjalne rozwiązanie tego problemu oferują bezpieczne platformy komunikacyjne, ponieważ spełniają wymagania szyfrowania HIPAA, zapewniając szyfrowanie danych PHI zarówno w spoczynku, jak i w ruchu. Wiadomości zawierające dane PHI są nie do odszyfrowania, jeśli zostaną przechwycone lub ktoś uzyska do nich nieuprawniony dostęp. Bezpieczne rozwiązania komunikacyjne spełniają nie tylko wymagania HIPAA dotyczące szyfrowania wiadomości e-mail, ale także te dotyczące kontroli dostępu, środków kontroli w obszarze audytu, środków kontroli integralności oraz uwierzytelniania tożsamości. Rozwiązanie to jest dużo bardziej praktyczne niż pagery, ponieważ umożliwia bezpieczne udostępnianie informacji medycznych (w tym obrazów).

Wraz z rozwojem technologii i coraz bardziej wyrafinowanymi działaniami cyberprzestępców potrzeba zapewnienia zgodności z wymogami ustawy HIPAA i innymi przepisami w celu ochrony informacji zdrowotnych pacjentów (w postaci danych w ruchu) będzie stawać się jeszcze ważniejsza.

#KingstonIsWithYou