Защита передаваемых данных

HIPAA требует использовать различное ПО шифрования для «хранящихся» и «передаваемых» данных.

Хранящиеся данные: данные неактивны, хранятся на жестком диске или твердотельном накопителей или на таком устройстве, как планшет. Данные должны быть защищены с помощью современных средств криптографии, полной защиты диска/виртуального диска и шифрования мобильных устройств (где это применимо).

Передаваемые данные: активно перемещаются между отправителем и получателем, например, по электронной почте, передаются в облако или между сервером и мобильным устройством.

Выполнение требований HIPAA стало возможным благодаря таким мерам, как шифрование AES-256, которое почти не поддается взлому методом подбора и одобрено для обработки конфиденциальных данных правительством США. TLS (Transport Layer Security) — это еще один протокол для безопасной передачи данных, таких как HTTPS, электронная почта или мгновенные сообщения. В нем также используется шифрование AES-256, наряду с другими мерами обеспечения безопасности. OpenPGP (Pretty Good Privacy) и S/MIME также соответствуют требованиям HIPAA, но для них необходимо управление открытыми ключами, которое многие считают трудоемким по сравнению с AES-256 и TLS 1.2.

Стандартной рекомендацией является использование в защищенных системах шифрования AES-256 для хранящихся данных и TLS — для передаваемых. Однако это не основные меры безопасности. Важно выявлять и устранять слабые места в системе безопасности, соответствующей требованиям HIPAA.

• Персонал и обучение (социальная инженерия): это клише, потому что это правда: люди — самое слабое звено в кибербезопасности. И сфера здравоохранения не исключение.
• Утерянные или украденные устройства: как упоминалось ранее, потеря ноутбука, флеш-накопителя, телефона или другого устройства, содержащего ePHI, может привести к семизначным расходам.
• Сторонние партнеры: любой сторонний поставщик облачных услуг или ИТ, работающий с ePHI, должен придерживаться тех же стандартов технической безопасности, что и поставщик медицинских услуг или служба, с которой они работают.
• Незащищенные системы/серверы электронной почты: если кто-либо в вашей организации по-прежнему использует незащищенные почтовые клиенты или серверы, отключите их.
• Слабое шифрование: достижения в компьютерных технологиях, особенно в квантовых вычислениях, означают, что старые стандарты шифрования, которые долгое время считались достаточно надежными, на самом деле могут быть опасно уязвимыми для современных киберпреступников.
• Старые ключи шифрования и сертификаты: ключи шифрования, которые используются после истечения срока действия, рекомендованного NIST, или после утечки данных, могут сделать организацию уязвимой.

Технические меры защиты, необходимые в рамках HIPAA, могут сбивать с толку, поскольку требования к шифрованию называются «доступными». Формулировка шифрования PHI расплывчата: «…организации должны внедрить механизм шифрования PHI, там где это будет сочтено целесообразным».

В этом контексте «addressable» (доступная) означает, что должна быть реализована эта мера защиты или ее аналог, или же должна быть задокументирована уважительная причина, по которой эта мера защиты не была использована. Например, связь внутри организации через внутренний сервер, защищенный брандмауэром, может не представлять риска для целостности PHI из внешних источников. Тем не менее, сообщения, содержащие ePHI, которые выходят за пределы брандмауэра организации, теперь должны обрабатываться с использованием доступных мер защиты.

Организации могут передавать ePHI по электронной почте через открытые сети, только если эта информация надлежащим образом защищена. Необходимо провести анализ и выявить риски для конфиденциальности, целостности и доступности ePHI, чтобы можно было разработать план управления рисками для снижения их до надлежащего уровня.

Универсальное шифрование сообщений — распространенный метод управления рисками, хотя вместо шифрования можно использовать аналогичные уровни защиты.

Помимо утерянных или украденных ноутбуков и флеш-накопителей, целостности PHI на рабочем месте могут угрожать и персональные мобильные устройства. Примерно 4 из 5 медицинских работников используют планшет для управления рабочим процессом. Запрет на использование устройств без шифрования в учреждениях здравоохранения приведет к серьезным нарушениям обмена информацией и других аспектов отрасли здравоохранения.

Платформы безопасного обмена сообщениями предлагают возможное решение этой проблемы, поскольку они соответствуют требованиям HIPAA к шифрованию, шифруя PHI как при хранении, так и при передаче. Сообщения, содержащие PHI, невозможно расшифровать в случае перехвата или несанкционированного доступа. Решения для безопасного обмена сообщениями не только соответствуют требованиям HIPAA к шифрованию электронной почты, но также требованиям к контролю доступа, аудита, целостности, а также к аутентификации по идентификатору. Это решение намного полезнее, чем пейджеры, поскольку позволяет безопасно обмениваться медицинской информацией (включая снимки).

По мере развития технологий и усложнения киберпреступлений потребность в соблюдении нормативных требований HIPAA и других законодательных актов для защиты передаваемых персональных данных о состоянии здоровья пациентов будет становиться все более острой.

#KingstonIsWithYou