ภาพลายนิ้วมือเรืองแสงสีทองบนแผงวงจรสีดำที่มีวงจรสีส้มและสีน้ำเงินที่กำลังเรืองแสงอยู่

รักษาข้อมูลที่มีการเคลื่อนย้ายให้ปลอดภัย

ม.ค. 2023
หน้าแรกของบล็อก

หากคุณมีส่วนเกี่ยวข้องในการรักษาความปลอดภัยของข้อมูลสำหรับหน่วยงานด้านการแพทย์ คุณอาจสงสัยว่าเหตุใดกฎระเบียบและข้อบังคับทางกฎหมายจึงมีบทบาทสำคัญต่อเทคโนโลยีสำหรับข้อมูลที่มีการเคลื่อนย้ายที่องค์กรของคุณเลือกใช้ หนึ่งในปัจจัยสำคัญที่สร้างความกังวลที่สุดในด้าน IT สำหรับวงการด้านสุขภาพคือความสำคัญของการปฏิบัติตามข้อบังคับด้านการรักษาความปลอดภัยของข้อมูล เช่น Healthcare Insurance Portability and Accountability Act (หรือ HIPAA)

ซึ่งความกังวลนั้นก็ไม่ได้ไร้เหตุผลไปเสียทีเดียว การละเมิดข้อมูลด้านการแพทย์มักก่อให้เกิดค่าใช้จ่ายและความเสียหายต่อรายได้และชื่อเสียงขององค์กรอย่างมาก ค่าใช้จ่ายโดยเฉลี่ยของกรณีการละเมิดข้อมูลในวงการด้านสุขภาพเพิ่มขึ้นจาก 7.13 ล้านดอลลาร์สหรัฐฯ ในปี 2020 เป็น 9.23 ล้านดอลลาร์สหรัฐฯ ในปี 2021, เมื่อเทียบกับค่าเฉลี่ยทั่วโลกที่ 3.86 ล้านดอลลาร์สหรัฐฯ ในปี 2020 และ 4.24 ล้านดอลลาร์สหรัฐฯ ในปี 2021

HIPAA ยังมีการกำหนดบทลงโทษแม้ในกรณีที่เป็นเพียงการละเมิดข้อกำหนดที่อาจเกิดขึ้น แสดงให้เห็นว่าข้อกำหนดนี้มีความเข้มงวดอย่างยิ่ง ในปี 2019 มีโน้ตบุ๊กและแฟลชไดรฟ์ที่ไม่มีการเข้ารหัสถูกขโมยไปจาก The University of Rochester Medical Center เหตุการณ์ดังกล่าวและแนวทางการจัดการของ URMC ทำให้ต้องมีการจ่ายเงินถึง 3 ล้านดอลลาร์สหรัฐฯ ให้แก่สำนักงานเพื่อสิทธิของพลเมืองอันเนื่องมาจากเหตุการณ์ที่อาจเป็นการละเมิดข้อกำหนด HIPAA

กฎระเบียบและข้อกำหนดด้านการรักษาความปลอดภัยของ HIPAA

HIPAA มีกฎพื้นฐานสามประการในการปกป้องผู้ป่วยและข้อมูลของผู้ป่วย ได้แก่

  • กฎด้านความเป็นส่วนตัว: ข้อมูลและการบันทึกข้อมูลด้านสุขภาพที่ได้รับความคุ้มครอง
  • กฎการแจ้งกรณีที่เกิดการละเมิด: แนวทางขององค์กรในการแจ้งเหตุการณ์การละเมิดการรักษาความปลอดภัยแก่หน่วยงานกำกับดูแลและผู้ป่วย
  • กฎด้านการรักษาความปลอดภัย: กำหนดมาตรฐานการรักษาความปลอดภัยในการจัดเก็บและถ่ายโอนข้อมูลด้านสุขภาพที่ได้รับความคุ้มครอง (PHI)
แพทย์กำลังนั่งใช้งานแท็บเล็ตที่มีแอปด้านสุขภาพซึ่งมีอินเทอร์เฟซแอปแบบเฮ็กซ์วางซ้อนอยู่

กฎระเบียบเหล่านี้ช่วยให้มั่นใจว่าองค์กรต่างๆ จะรับผิดชอบต่อการรักษาความลับและความปลอดภัยสำหรับ ePHI (PHI อิเล็กทรอนิกส์) รวมถึงการคาดการณ์และป้องกันภัยคุกคามที่อาจเกิดขึ้นกับข้อมูล ทั้งนี้ กฎระเบียบเหล่านี้ไม่ได้เป็นการกำหนดระเบียบปฏิบัติ เทคโนโลยี หรือมาตรฐานในการดำเนินการที่ชัดเจน เนื่องจากภัยคุกคามทางไซเบอร์มีการพัฒนาอยู่ตลอด เทคโนโลยีรักษาความปลอดภัยของ HIPAA จึงจะต้องพัฒนาตามไปด้วย แทนที่จะระบุว่าโปรโตคอลเข้ารหัสใดที่มีความจำเป็นซึ่งเป็นขั้นตอนที่ทำให้ประสิทธิภาพในการบังคับใช้กฎหมายลดลงจากการผูกโยงกฎหมายไว้กับเทคโนโลยีตัวใดเป็นการเฉพาะ กฎหมายนี้ระบุเพียงประสิทธิภาพและความน่าเชื่อถือของมาตรฐานที่ใช้ในการปกป้อง ePHI เท่านั้น โดยเป็นการดำเนินการภายใต้คำแนะนำของ NIST (National Institute of Science and Technology) เพื่อให้กฎหมายพร้อมรองรับการใช้งานในอนาคตมากยิ่งขึ้น หน่วยงานต่างๆ จึงสามารถเลือกแนวทางที่เหมาะสมที่สุดตามสถานการณ์ให้กับระบบการทำงานของตนได้

HIPAA ได้กำหนดประเด็นปลีกย่อยต่างๆ เกี่ยวกับซอฟต์แวร์เข้ารหัสตามรูปแบบของข้อมูล ได้แก่ ข้อมูลที่พักอยู่’ หรือ ข้อมูลที่มีการเคลื่อนย้าย’

ข้อมูลที่พักอยู่: หมายถึงข้อมูลที่ยังไม่ได้ใช้งาน และมีการจัดเก็บไว้ในฮาร์ดไดรฟ์หรือ SSD หรือในอุปกรณ์อื่นๆ เช่น แท็บเล็ต ข้อมูลควรได้รับการป้องกันโดยระบบการเข้ารหัสขั้นสูง ระบบรักษาความปลอดภัยแบบครอบคลุมทั้งไดรฟ์/กับไดรฟ์เสมือนจริง และระบบเข้ารหัสอุปกรณ์พกพา (หากสามารถทำได้)

ข้อมูลที่มีการเคลื่อนย้าย: ข้อมูลที่มีการเคลื่อนย้ายระหว่างผู้ส่งและปลายทาง เช่น ข้อมูลที่ส่งทางอีเมล ข้อมูลที่ส่งผ่านคลาวด์ หรือข้อมูลที่นำส่งระหว่างเซิร์ฟเวอร์และอุปกรณ์พกพา

การควบคุมมาตรฐานภายใต้ HIPAA สามารถทำได้โดยอาศัยมาตรการต่างๆ เช่น AES-256 ซึ่งทำให้การโจมตีด้วยการเดารหัสเป็นไปได้ยาก และเป็นกระบวนการที่รับรองสำหรับการจัดการข้อมูลโดยรัฐบาลสหรัฐฯ TLS (Transport Layer Security) เป็นอีกหนึ่งโปรโตคอลสำหรับการถ่ายโอนข้อมูลแบบปลอดภัย เช่น HTTPS อีเมลหรือ IMS นอกจากนี้ยังมีการใช้ AES-256 ร่วมกับมาตรการรักษาความปลอดภัยอื่น ๆ OpenPGP (Pretty Good Privacy) และ S/MIME ก็เป็นไปตามมาตรฐานของ HIPAA เช่นกัน แต่จะมีเงื่อนไขด้านการจัดการคีย์สาธารณะที่อาจเป็นอุปสรรคในการใช้งานมากกว่าเมื่อเทียบกับ AES-256 และ TLS 1.2

แนะนำในเบื้องต้นคือระบบที่มีความปลอดภัยควรใช้การเข้ารหัส AES 256 สำหรับข้อมูลที่พักอยู่ และ TLS สำหรับข้อมูลที่มีการเคลื่อนย้าย อย่างไรก็ตาม มาตรการรักษาความปลอดภัยนี้ไม่ควรเป็นมาตรการเดียวที่คุณเลือกใช้ สิ่งสำคัญคือการระบุและหาทางแก้จุดอ่อนต่าง ๆ ในระบบรักษาความปลอดภัยภายใต้มาตรฐาน HIPAA ของคุณ

  • บุคลากรและการฝึกอบรม (การวิศวกรรมสังคม): อาจฟังดูจำเจแต่ก็เป็นสิ่งที่เกิดขึ้นจริง เพราะมนุษย์มักเป็นจุดอ่อนที่เปราะบางที่สุดในการรักษาความปลอดภัยทางไซเบอร์ แม้แต่ในวงการด้านสุขภาพก็ตาม
  • อุปกรณ์ที่สูญหายหรือถูกขโมย: ดังที่ได้กล่าวไปก่อนหน้านี้ โน้ตบุ๊ก แฟลชไดรฟ์ โทรศัพท์ หรืออุปกรณ์จัดเก็บ ePHI อื่นๆ ที่สูญหายไปอาจทำให้หน่วยงานต้องเสียค่าไถ่ข้อมูลมูลค่านับล้าน
  • พันธมิตรจากภายนอก: ผู้ให้บริการคลาวด์หรือ IT จากภายนอกที่ดูแล ePHI จะต้องให้ความสำคัญด้านการรักษาความปลอดภัยเช่นเดียวกันกับผู้ให้บริการด้านสุขภาพหรือส่วนบริการต่างๆ ที่ตนดูแล
  • ระบบอีเมล/เซิร์ฟเวอร์ที่ไม่ปลอดภัย: หากมีใครในหน่วยงานของคุณที่ยังใช้ไคลเอนท์อีเมลหรือเซิร์ฟเวอร์ที่ไม่ปลอดภัย ให้หยุดการกระทำดังกล่าว
  • การเข้ารหัสที่ไม่มีประสิทธิภาพมากพอ: พัฒนาการด้านเทคโนโลยีคอมพิวเตอร์ใหม่ๆ โดยเฉพาะระบบประมวลผลควอนตัมทำให้มาตรฐานการเข้ารหัสแบบเดิมๆ ที่เชื่อมั่นมาโดยตลอดอาจมีจุดอ่อนอย่างมีนัยสำคัญสำหรับอาชญากรไซเบอร์ยุคใหม่
  • คีย์การเข้ารหัสและเอกสารรับรองที่ใช้มานานเกินไป: คีย์เข้ารหัสที่ใช้นานเกินกว่าที่ NIST แนะนำ หรือยังคงใช้อยู่แม้ว่าจะมีการละเมิดข้อมูลเกิดขึ้นแล้ว อาจทำให้หน่วยงานเกิดความเสี่ยงได้

มาตรการป้องกันด้านเทคนิคของ HIPAA อาจเป็นประเด็นที่น่าสับสนเนื่องจากข้อกำหนดในการเข้ารหัสคือสิ่งที่ จะต้องชี้แจงได้’ คำศัพท์ที่ใช้ในการเข้ารหัสสำหรับ PHI มักมีความหมายที่ไม่ชัดเจน เช่น “…หน่วยงานควรกำหนดกลไกในการเข้ารหัส PHI ตามที่เห็นสมควร”

ในบริบทนี้ ที่ชี้แจงได้’ จะหมายถึงควรมีการนำมาตรการป้องกันหรือทางเลือกอื่นที่เทียบเท่ามาใช้ มิฉะนั้นจะต้องมีบันทึกระบุสาเหตุให้ชัดเจนว่าเหตุใดจึงมีการละเว้นมาตรการป้องกันเกิดขึ้น เช่น การสื่อสารภายในผ่านเซิร์ฟเวอร์ภายในจะได้รับการป้องกันโดยไฟร์วอลล์ซึ่งช่วยป้องกันความเสี่ยงจากบุคคลภายนอกต่อข้อมูล PHI อย่างไรก็ตาม การสื่อสารที่มี ePHI ที่ต้องส่งข้อมูลออกไปภายนอกโดยได้รับการปกป้องจากไฟร์วอลล์จะต้องมีการจัดการเพิ่มเติมผ่านระบบป้องกันที่สามารถชี้แจงได้

การรักษาความปลอดภัยทางไซเบอร์พร้อมสัญลักษณ์รูปกุญแจบนหน้าจอโน้ตบุ๊กรุ่นใหม่

หน่วยงานต่างๆ จะต้องส่ง ePHI ผ่านทางอีเมลแทนเครือข่ายแบบเปิดสาธารณะ หากข้อมูลมีการป้องกันมากเพียงพอ การวิเคราะห์ความเสี่ยงควรมีขึ้นเพื่อพิจารณาปัจจัยเสี่ยงด้านการรักษาความลับ ความสมบูรณ์และความพร้อมของข้อมูล ePHI เพื่อให้สามารถกำหนดแผนจัดการความเสี่ยงและลดความเสี่ยงให้อยู่ในระดับที่เหมาะสมได้

การเข้ารหัสแบบสากลสำหรับข้อความต่างๆ เป็นวิธีในการจัดการความเสี่ยงที่ใช้กันอย่างแพร่หลาย โดยการใช้ระดับการป้องกันต่างๆ ที่ใกล้เคียงกันและสามารถนำมาใช้แทนการเข้ารหัสได้

นอกจากนี้ โน้ตบุ๊กและแฟลชไดรฟ์ที่สูญหายหรือถูกขโมย หรือแม้แต่อุปกรณ์พกพาส่วนบุคคลที่ใช้ในที่ทำงานก็อาจส่งผลกระทบต่อ PHI ได้ทั้งสิ้น บุคลากรด้านสุขภาพ 4 จาก 5 รายเลือกใช้แท็บเล็ตในการจัดการระบบงาน การห้ามใช้อุปกรณ์ที่ไม่มีการเข้ารหัสในองค์กรด้านสุขภาพอาจทำให้เกิดอุปสรรคในด้านการสื่อสารอย่างมาก และกระทบต่อส่วนอื่นๆ ในกระบวนการให้บริการด้านสุขภาพ

แพลตฟอร์มรับส่งข้อความที่มีการรักษาความปลอดภัยเป็นทางเลือกที่เป็นไปได้ในการแก้ไขปัญหานี้ เนื่องจากแพลตฟอร์มเป็นไปตามข้อกำหนดในการเข้ารหัสของ HIPAA โดยมีการเข้ารหัส PHI ให้กับข้อมูลที่พักอยู่และข้อมูลที่มีการเคลื่อนย้าย ข้อมูลสื่อสารที่มี PHI มักไม่สามารถถอดรหัสได้หากถูกแทรกแซงหรือสืบค้นโดยไม่ได้รับอนุญาต โซลูชันการรับส่งข้อความที่ปลอดภัยนั้นไม่เพียงแต่จะเป็นไปตามข้อกำหนดการเข้ารหัสสำหรับอีเมลโดย HIPAA แต่ยังเป็นไปตามข้อกำหนดในการควบคุมการใช้งาน การควบคุมการตรวจสอบ การควบคุมความสมบูรณ์ของข้อมูล และการยืนยันตัวตน โซลูชันเหล่านี้มีประโยชน์มากกว่าเป็นแค่ตัวกลางรับส่ง โดยทำให้สามารถเผยแพร่ข้อมูลด้านการแพทย์ (รวมทั้งรูปภาพต่างๆ) ได้อย่างปลอดภัย

เทคโนโลยีที่พัฒนาอย่างต่อเนื่องและอาชญากรรมไซเบอร์ที่พัฒนาอย่างไม่หยุดยั้งและมีความซับซ้อนขึ้นเรื่อยๆ ทำให้การดำเนินการตามข้อกำหนด HIPAA และกฎหมายอื่นๆ เพื่อปกป้องข้อมูลด้านสุขภาพของผู้ป่วยที่มีการเคลื่อนย้ายนั้นเป็นสิ่งที่จำเป็นมากขึ้นเรื่อยๆ

#KingstonIsWithYou

ไอคอน Ask an Expert ของ Kingston บนชิปเซ็ตของแผงวงจร

ถามผู้เชี่ยวชาญ

การวางแผนระบบการทำงานที่เหมาะสมต้องอาศัยความเข้าใจเกี่ยวกับวัตถุประสงค์ด้าน IT ของคุณ ให้ผู้เชี่ยวชาญจาก Kingston เสนอคำแนะนำที่เป็นประโยชน์แก่คุณ

ถามผู้เชี่ยวชาญ

บทความที่เกี่ยวข้อง

หน้าแรกของบล็อก