เจ้าหน้าที่ด้านการแพทย์กำลังใช้งานแท็บเล็ต แนวคิดเกี่ยวกับเทคโนโลยีด้านการแพทย์

ความจริงที่ยอมรับได้ยากเกี่ยวกับการรักษาความปลอดภัยข้อมูลด้านสุขภาพอย่างเหมาะสม

องค์กรด้านการแพทย์ต้องมีการจัดเก็บและถ่ายโอนข้อมูลด้านสุขภาพส่วนบุคคล ซึ่งมักจะเรียกกันว่าข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง (PHI) การให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลจะยังคงมีความจำอยู่ ทั้งนี้ก็เพื่อป้องกันภัยคุกคามทางไซเบอร์และการสูญหายของข้อมูลซึ่งทำให้ PHI ได้รับความปลอดภัย อันที่จริงแล้ว แบบสำรวจที่จัดทำโดย American Medical Association พบว่า 92% ของผู้ป่วยเชื่อว่าความเป็นส่วนตัวของข้อมูลด้านสุขภาพของตนถือเป็นสิทธิและควรได้รับการคุ้มครอง ซึ่งสิ่งนี้พูดง่ายแต่ทำได้ยาก เนื่องจากข้อมูลจะต้องสามารถเคลื่อนย้ายและแชร์กันได้ในทันที

แม้ว่าการปกป้องข้อมูล PHI อาจจะฟังดูไม่สลักสำคัญ แต่หากข้อมูลนั้นรั่วไหล ผลกระทบที่ตามมาก็จะรุนแรงมาก เช่น Scripps Health ต้องเสียเงินค่าไกล่เกลี่ยถึง 3.5 ล้านเหรียญหลังจากถูกโจมตีด้วยแรนซัมแวร์ในปี 2021

นี่ไม่ใช่การปลุกปั่นให้เกิดความหวาดกลัว แต่ต้องยอมรับและตระหนักว่าปริมาณการรั่วไหลทางข้อมูลที่เกิดขึ้นกับหน่วยงานทางการแพทย์นั้นมีเพิ่มมากขึ้น ผู้ไม่หวังดีเข้าใจดีถึงมูลค่าของข้อมูลด้านสุขภาพที่รั่วไหล และภัยจากแรมซัมแวร์กำลังเพิ่มมากขึ้นอย่างรวดเร็ว ทำให้วงการกด้านการแพทย์ทั่วโลกกลายเป็นเป้าหมายสำคัญ

แล้วเราสามารถทำสิ่งใดได้บ้างเพื่อให้แน่ใจว่าการรักษาความปลอดภัยของข้อมูลนั้นจะมีประสิทธิภาพ

ไอคอนการรักษาความปลอดภัยและไอคอนการแพทย์ แนวคิดเกี่ยวกับข้อกังวลด้านการรักษาความปลอดภัยของข้อมูลสำหรับองค์กรทางการแพทย์

มาเริ่มพิจารณาประเด็นท้าทายที่เหมือนใครเหล่านี้ รวมถึงความจำเป็นในการปฏิบัติตามข้อบังคับที่เปลี่ยนแปลงอยู่ตลอดเวลาด้วยการลดความซับซ้อนกันก่อน โดยเริ่มจากการกำหนดเงื่อนไขง่าย ๆ เช่น การเข้ารหัสข้อมูลจำเป็นต้องเป็นส่วนสำคัญของกลยุทธ์การรักษาความปลอดภัยขององค์กรด้านการแพทย์ทุกแห่ง

ข้อมูลทุกชนิดที่สามารถถูกเรียกค้นคือข้อมูลที่อาจถูกโจมตีหรือปกป้องได้ทั้งสิ้น นี่คือสิ่งสำคัญที่จะต้องเข้าใจขณะวางแผนรักษาความปลอดภัยให้กับข้อมูลของคุณ

ที่ Kingston เราทราบดีกว่า the การปกป้องข้อมูลด้านสุขภาพที่ดีถือเป็นงานที่จริงจัง มีหลายอย่างที่เราจะต้องพิจารณาในการรักษาความปลอดภัยผ่านวิธีการเข้ารหัสข้อมูลด้านสุขภาพ ประการแรก จำเป็นต้องเข้าใจถึงความสำคัญของการเข้ารหัสข้อมูลเพื่อให้เป็นไปตามระเบียบข้อบังคับ HIPAA และระเบียบข้อบังคับระหว่างประเทศอื่น ๆ อย่าง GDPR และ CCPA กำหนดเงื่อนไขในการเข้ารหัสข้อมูลส่วนบุคคลไว้ การเข้ารหัสทำให้หน่วยงานด้านสุขภาพต่าง ๆ สามารถปกป้องตนเองจากผลกระทบที่จะเกิดขึ้นจากข้อมูลที่รั่วไหลและทำให้ปฏิบัติตามข้อกำหนดเหล่านี้ได้

ทั้งนี้ แม้แต่การเข้ารหัสเองก็อาจทำให้สับสนได้ เนื่องจากมีอยู่ด้วยกันถึง 2 ประเภท ดังนี้ การเข้ารหัสเชิงฮาร์ดแวร์และเชิงซอฟต์แวร์

การทำเข้าใจถึงความแตกต่างระหว่างการเข้ารหัสเชิงฮาร์ดแวร์กับซอฟต์แวร์จะช่วยให้ทราบถึงนัยยะบางประการในการรักษาความปลอดภัยของข้อมูลด้านสุขภาพของผู้ป่วย การเข้ารหัสเชิงซอฟต์แวร์มักจะมีต้นทุนเบื้องต้นน้อยกว่า แต่ต้องอาศัยเครื่องโฮสต์ในการรักษาความปลอดภัยเป็นสำคัญ ด้วยเหตุนี้จึงทำให้เสี่ยงต่อการถูกแฮ็คมากกว่าเนื่องจากสามารถหารหัสผ่านหรือคีย์กู้ข้อมูลได้จากความจำเครื่องโฮสต์ เพจจิ้ง และไฮเบอร์เนชัน นอกจากนี้ รูปแบบของไฟล์ที่มีการเข้ารหัสมากมายยังสามารถถูกโจมตีผ่านซอฟต์แวร์ที่หาได้ฟรีตามอินเทอร์เน็ตหรือมีค่าใช้จ่ายเพียงเล็กน้อยที่สามารถโจมตีโดยใช้การเดารหัสผ่าน (Brute Force) เพื่อเจาะกระบวนการยืนยันตัวตนไปได้ คอมพิวเตอร์ในปัจจุบันสามารถเดารหัสผ่านได้มากกว่า 1 พันล้านรายการต่อวินาที ไฟล์เข้ารหัสเชิงซอฟต์แวร์ยังสามารถถูกคัดลอกและเจาะคู่ขนานไปพร้อม ๆ กันผ่านเครือข่ายคอมพิวเตอร์หลาย ๆ เครื่อง ทำให้ลดเวลาของการโจมตีโดยใช้การเดารหัสผ่านลงไปอีก

การเข้ารหัสเชิงฮาร์ดแวร์เป็นระบบรักษาความปลอดภัยที่มีอยู่ในตัวอุปกรณ์จัดเก็บข้อมูลโดยเฉพาะ ไม่ว่าจะเป็นไดรฟ์ USB หรือ SSD การเข้ารหัสเชิงฮาร์ดแวร์จะทำงานอยู่ตลอดเวลาเพื่อปกป้องข้อมูล ทั้งนี้ไม่ว่าผู้ใดก็สามารถลบการเข้ารหัสเชิงซอฟต์แวร์ในไดรฟ์ได้โดยการรีฟอร์แมตไดรฟ์ สำหรับผู้ให้บริการด้านสุขภาพ สิ่งนี้หมายถึงพนักงานที่ไม่หวังดีจะสามารถปิดระบบป้องกันและเปลี่ยนไดรฟ์เข้ารหัสเชิงซอฟต์แวร์ให้กลายเป็นอุปกรณ์จัดเก็บข้อมูลที่ถูกเจาะข้อมูลได้

ด้วยเหตุนี้การเข้ารหัสเชิงฮาร์ดแวร์โดยทั่วไปแล้วจึงมีความปลอดภัยมากกว่า เนื่องจากไม่มีการแจ้งรหัสผ่านหรือคีย์เข้ารหัสไว้กับเครื่องโฮสต์แต่อย่างใด อย่างไรก็ตาม ความปลอดภัยที่เพิ่มขึ้นยังหมายถึงค่าใช้จ่ายที่เพิ่มขึ้นเมื่อเทียบกับไดรฟ์จัดเก็บข้อมูลแบบไม่เข้ารหัส เมื่อพิจารณาถึงความเสียหายของการรั่วไหลของข้อมูลโดยเฉลี่ยมักจะมูลค่ามากกว่า 4.35 ล้านเหรียญ* ในสหรัฐฯ ระหว่างปี 2022 ทำให้การลดค่าใช้จ่ายโดยการเลือกใช้การเข้ารหัสเชิงซอฟต์แวร์จึงอาจเป็นเพียงเรื่องหลอกหลวงเมื่อเทียบกับทางเลือกที่เหนือกว่าสำหรับข้อมูลที่มีการเคลื่อนย้ายอยู่ตลอดเวลา ซึ่งก็คือไดรฟ์ USB และ SSD แบบต่อพ่วงที่เข้ารหัสเชิงฮาร์ดแวร์ซึ่งมีการเข้ารหัสแบบ 256 บิตตามมาตรฐาน XTS-AES ซึ่งมีระบบป้องกันการคาดเดารหัสผ่านและ BadUSB ด้วย หากไดรฟ์ที่เข้ารหัสเชิงฮาร์ดแวร์สูญหาย ก็ยังแน่ใจในเรื่องความการรักษาความปลอดภัยได้ ตลอดจนมั่นใจว่ายังจะให้การคุ้มครอง PHI อยู่เนื่องจากมีระบบรักษาความปลอดภัยที่มีประสิทธิภาพ

ไดรฟ์เข้ารหัสเชิงฮาร์ดแวร์แบบ 256 บิตของ Kingston IronKey ซึ่งปฏิบัติตามมาตรฐาน XTS-AES ยังมีรุ่นที่ใช้งานได้ง่ายเพื่อไม่ให้ผู้ใช้กังวลว่าการรักษาความปลอดภัยจะเป็นเรื่องยุ่งยาก ระบบรองรับรหัสผ่านหลายชุดยังช่วยให้ผู้ใช้หรือผู้ให้บริการสามารถกู้คืนการใช้งานไดรฟ์ได้ในกรณีที่ลืมรหัสผ่าน โดยในปัจจุบันจะมีตัวเลือกอื่นแทนการใช้รหัสผ่านแบบซับซ้อนที่จดจำได้ยาก ซึ่งก็คือการใช้รหัสผ่านแบบชุดคำยาวสูงสุด 64 อักขระที่อาจเป็นได้ทั้งชื่อหนังสือหรือเพลงโปรด รายการคำต่าง ๆ คำกลอนหรือเนื้อเพลง หรือวลีอื่นใดที่ี่แพทย์และบุคลากรทางการแพทย์จดจำได้ง่ายแต่ผู้ไม่หวังดีนั้นจะคาดเดายาก เมื่อทำการโจมตีโดยใช้การคาดเดารหัสผ่านแบบจำกัดครั้งและระบบล้างข้อมูลคริปโตกราฟิก

รหัสผ่านแบบชุดคำสามารถใช้ได้กับไดรฟ์ SSD ต่อพ่วง Vault Privacy 50, 50C และ Vault Privacy 80 ไดรฟ์แบบมีแป้นกดอย่าง Vault Privacy 80ES และ Keypad 200 ใช้ PIN ป้องกันคล้าย ๆ กับโทรศัพท์สำหรับคนที่สะดวกในการใช้ PIN มากกว่า นอกจากนี้ ไดรฟ์ VP80ES ยังรองรับการใช้รหัสผ่านชุดคำที่ใช้แป้นพิมพ์ที่มีทั้งตัวอักษรและตัวเลขที่จอสัมผัสซึ่งใช้งานได้ง่าย

ภาพไดรฟ์เข้ารหัสเชิงฮาร์ดแวร์ต่าง ๆ จาก Kingston IronKey ไดรฟ์ USB และ SSD เข้ารหัสเชิงฮาร์ดแวร์:

ไดรฟ์ IronKey ทั้งหมดมีระบบป้องกันการเดารหัสผ่านในตัวไดรฟ์ เมื่อมีผู้โจมตีโดยการใช้การคาดเดารหัสผ่าน ไดร์ฟจะนับจำนวนการป้อนรหัสที่ผิดพลาดและล็อครหัสผ่านผู้ใช้ หากมีการพยายามเดารหัสผ่านผู้ดูแลระบบจนครบจำนวน ไดรฟ์จะทำการล้างข้อมูลแบบคริปโตกราฟิก การเข้ารหัสเชิงซอฟต์แวร์ไม่สามารถป้องกันการคุกคามเหล่านี้ได้อย่างมีประสิทธิภาพ

ไดรฟ์ที่ใช้เฉพาะสำหรับ OS บางตัวอย่าง Vault Privacy 80ES และ Keypad 200 เหมาะอย่างยิ่งสำหรับการปกป้องข้อมูลที่มีการถ่ายโอนระหว่างอุปกรณ์ทางการแพทย์และคอมพิวเตอร์ซึ่งมักมีความจำเป็นสำหรับอุปกรณ์หลายตัวที่ใช้ในอุตสาหกรรมดูแลสุขภาพ เช่น เครื่องตรวจในห้องปฏิบัติการหลาย ๆ ตัวต้องมีการถ่ายโอนข้อมูลโดยเจ้าหน้าที่เทคนิคไปยังระบบคอมพิวเตอร์ของผู้ให้บริการ

เจ้าหน้าที่ด้านการแพทย์ห้าคนกำลังประชุมงานในห้องทำงานที่มีไฟส่องสว่างพร้อมกับโน้ตบุ๊ก มีกระดานด้านหลัง เจ้าหน้าที่รวมตัวกันรอบ ๆ โต๊ะ คนหนึ่งยืนอยู่ในขณะที่คนที่เหลือนั่งอยู่ คนหนึ่งยิ้มหันไปทางกล้อง

นอกเหนือจากอุปกรณ์เข้ารหัสเชิงฮาร์ดแวร์ องค์กรทางการแพทย์ยังควรพิจารณาใช้มาตรการรักษาความปลอดภัยทางไซเบอร์เพิ่มเติม เช่น การฝึกอบรมพนักงานเกี่ยวกับหลักปฏิบัติที่ดีที่สุด การใช้ระบบการยืนยันคัวตนแบบหลายชั้น และการอัปเดตซอฟต์แวร์และระบบการทำงานเป็นประจำ สำหรับผู้ให้บริการด้านสุขภาพรายย่อยเอง การพิจารณาสำรองข้อมูลผ่าน SSD ต่อพ่วงแบบเข้ารหัสเชิงฮาร์ดแวร์อย่างเป็นประจำเองก็จะช่วยให้ไม่ต้องตกเป็นเหยื่อของการโจมตีโดยแรมซัมแวร์ รวมถึงยังสามารถกู้คืนระบบได้อย่างรวดเร็ว

เมื่อใช้แนวแบบหลายชั้นในการรักษาความปลอดภัยและการสร้างนิสัยด้านการปกป้องข้อมูลให้กับพนักงานก็จะทำให้หน่วยงานดูแลสุขภาพต่าง ๆ สามารถปกป้องข้อมูลผู้ป่วยได้อย่างมีประสิทธิภาพ การเลือกใช้ไดรฟ์เข้ารหัสเชิงฮาร์ดแวร์ Kingston IronKey

คุณสามารถหาผลิตภัณฑ์จาก Kingston IronKey เพิ่มเติมที่จะตอบโจทย์กับความต้องการในการรักษาความปลอดภัยของข้อมูลด้านสุขภาพ หรือใช้บริการ Ask an Expert เพื่อสอบถามเกี่ยวกับ Kingston IronKey เจ้าหน้าที่ที่พร้อมจพช่วยดูแลข้อมูลผู้ป่วยของคุณให้ปลอดภัย

#KingstonIsWithYou #KingstonIronKey

ไอคอน Ask an Expert ของ Kingston บนชิปเซ็ตของแผงวงจร

ถามผู้เชี่ยวชาญ

การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ

ถามผู้เชี่ยวชาญ

วิดีโอที่เกี่ยวข้อง

บทความที่เกี่ยวข้อง