Медичний працівник, що використовує планшет. Концепція медичних технологій.

Сувора правда про належний рівень безпеки медичних даних

Закладам охорони здоров’я завжди необхідно зберігати та передавати персональні медичні дані, які часто називають захищеною медичною інформацією (Protected Health Information, PHI). Прискіплива увага до безпеки даних залишатиметься важливим елементом концепції захисту від кібератак і втрати даних у сфері охорони здоров’я. Згідно з опитуванням Американської медичної асоціації 92% пацієнтів вважають, що кожна особа має право на конфіденційність медичних даних, і ці дані мають бути захищені. Але це непросто зробити, коли йдеться про дані, які мають бути доступними для обміну будь-якої миті.

Без паніки — давайте чітко визнаємо, що кількість витоків даних, які зачіпають медичні заклади, зростає. Зловмисники розуміють, до чого може призвести компрометація медичних даних, і атаки зловмисних програм з вимогою викупу швидко зростають, перетворюючи сферу охорону здоров’я в стратегічну ціль.

Without scaremongering – let’s be clear and acknowledge that the volume of breaches involving healthcare entities is growing. Bad actors understand the value in compromising healthcare data, and ransomware attacks are growing fast, making healthcare worldwide a strategic target.

Отже, що можна зробити для забезпечення надійного захисту даних?

Піктограми безпеки та охорони здоров’я. Концепція безпеки даних для закладів охорони здоров’я.

Давайте розглянемо ці унікальні виклики та необхідність забезпечення відповідності нормативним вимогам, що постійно змінюються, спростивши проблему: шифрування даних має бути ключовим елементом стратегії безпеки будь-якого закладу охорони здоров’я.

Врешті-решт, усе, що можна побачити, може бути або атаковано, або захищено! Це важливо знати при розробці плану інформаційної безпеки.

У компанії Kingston ми знаємо, що належний захист медичних даних — це серйозна справа. Впроваджуючи шифрування медичних даних, не забувайте про декілька важливих моментів. По-перше, важливо розуміти цінність шифрування даних для забезпечення відповідності нормативним вимогам. HIPAA та інші міжнародні норми, як-от GDPR і CCPA, висувають певні вимоги до шифрування персональних даних. Використовуючи шифрування, заклади охорони здоров’я можуть і захистити себе від наслідків витоку даних, і забезпечити відповідність цим нормам.

Але навіть шифрування є непростим завданням, оскільки існує два типи шифрування: апаратне та програмне.

Нерозуміння різниці між програмним і апаратним шифруванням може мати серйозні наслідки для безпеки медичних даних пацієнтів. Програмне шифрування дешевше впровадити, але його рівень безпеки залежить від хост-системи. Хост-система стає набагато вразливішою до хакерських атак, коли паролі або ключі відновлення можуть бути знайдені в її пам’яті, файлах довантаження або даних сплячого режиму. Крім того, більшість форматів зашифрованих файлів можуть бути атаковані за допомогою програмних інструментів, знайдених в Інтернеті безкоштовно або за мінімальну вартість. Вони можуть виконувати атаки методом прямого добору пароля для того, щоб зламати процес автентифікації. Сучасні комп’ютери можуть перебирати понад мільярд паролів щосекунди. Зашифровані програмним способом файли також можуть бути одночасно скопійовані та атаковані мережею комп’ютерів, що ще більше скоротить час виконання атак методом прямого добору пароля.

Апаратне шифрування — це спеціальна екосистема інформаційної безпеки, що міститься всередині пристрою для зберігання даних, чи то USB-накопичувач, чи то зовнішній SSD-накопичувач. Апаратне шифрування завжди ввімкнено та постійно захищає дані, тоді як будь-хто може видалити програмне шифрування на накопичувачі, просто переформатувавши його. Для закладів охорони здоров’я це означає, що недобросовісний співробітник може вимкнути захист і перетворити накопичувач із програмним шифруванням на незахищений пристрій для зберігання даних.

Апаратне шифрування загалом є безпечнішим у геометричній прогресії, оскільки воно не розкриває паролі та ключі шифрування хост-системі. Але за цей додатковий рівень безпеки доведеться заплатити більше, ніж за нешифровані накопичувачі. З огляду на те, що в 2022 році середня вартість витоку даних у США перевищила 4,35* млн доларів, економія на програмному шифруванні може виявитися ілюзорною, оскільки для мобільних даних існує краще рішення — це USB- та зовнішні SSD-накопичувачі з апаратним шифруванням XTS-AES 256-bit, що мають захист від атак методом прямого добору пароля та BadUSB. Якщо накопичувач з апаратним шифруванням буде загублений, можна бути впевненим, що він залишиться надійно захищеним і продовжить захищати PHI завдяки своєму високому рівню безпеки.

Лінійка накопичувачів Kingston IronKey з апаратним шифруванням XTS-AES 256-bit налічує зручні у використанні накопичувачі, які вирішують будь-які проблеми користувачів із безпекою. Підтримка кількох паролів дає можливість користувачам або постачальникам послуг відновити доступ до накопичувачів, якщо вони забудуть пароль. Тепер з’явилась альтернатива складним паролям, які ніхто не може запам’ятати. Це парольна фраза завдовжки до 64 символів, якою може стати назва улюбленої книги або пісні, перелік слів, рядок вірша або пісні, або інші фрази, які легко запам’ятати лікарям та іншим медичним працівникам, але практично неможливо вгадати зловмисникові протягом обмеженого часу через блокування атак методом прямого добору пароля та криптографічне стирання даних накопичувача.

Парольні фрази доступні на зовнішніх SSD-накопичувачах Vault Privacy 50, 50C та Vault Privacy 80. Накопичувачі з клавіатурою, наприклад Vault Privacy 80ES і Keypad 200, надають доступ до даних через PIN-код, подібний до того, що використовується в мобільних телефонах. Накопичувач VP80ES також підтримує парольні фрази, використовуючи зручну буквено-цифрову клавіатуру на сенсорному екрані.

Компонування різних накопичувачів Kingston IronKey з апаратним шифруванням. USB- та SSD-накопичувачі з апаратним шифруванням.

Усі накопичувачі IronKey мають надійний захист від атак методом прямого добору пароля. Коли зловмисник намагається вгадати пароль, накопичувач підраховує кількість невдалих спроб і блокує паролі користувачів; коли спроби підбору пароля адміністратора вичерпані, накопичувач автоматично виконує криптографічне стирання даних, і всі дані видаляються назавжди. Програмне шифрування не спроможне захистити від подібних атак.

Такі незалежні від ОС накопичувачі, як Vault Privacy 80ES і Keypad 200, ідеально підходять для захисту даних, що передаються між медичними пристроями та комп’ютерами, які використовуються у сфері охорони здоров’я. Наприклад, більшість лабораторних пристроїв потребують ручного перенесення даних технічними фахівцями в комп’ютерну систему постачальника.

П’ять медичних працівників із ноутбуками проводять нараду в добре освітленому офісі. Працівники збираються навколо столу. Один із них стоїть, інші сидять. Один посміхається, дивлячись у камеру.

Окрім пристроїв з апаратним шифруванням, заклади охорони здоров’я мають розглянути додаткові заходи інформаційної гігієни у сфері кібербезпеки, такі, як навчання співробітників найкращим практикам, впровадження багатофакторної автентифікації та регулярне оновлення програмного забезпечення й систем. Навіть у невеликих медичних закладах регулярне резервне копіювання даних на зовнішні SSD-накопичувачі з апаратним шифруванням може кардинально змінити ситуацію, захистивши від атак зловмисних програм з вимогою викупу та забезпечивши швидке відновлення систем.

Застосовуючи багаторівневий підхід до безпеки та впроваджуючи захист даних у щоденні звички співробітників, заклади охорони здоров’я можуть ефективно захистити дані пацієнтів. Інтеграція накопичувачів Kingston IronKey з апаратним шифруванням, яка є частиною стратегії безпеки даних, — це ефективний спосіб забезпечення відповідності вимогам HIPAA та іншим нормативним положенням щодо захисту медичних даних.

Ви можете також знайти будь-які інші продукти Kingston IronKey для захисту медичних даних або запитати експерта Kingston IronKey, який допоможе вам захистити дані ваших пацієнтів.

#KingstonIsWithYou #KingstonIronKey

Kingston’s Ask an Expert icon on a circuit board chipset

Зверніться до експерта

Планування правильного рішення вимагає розуміння цілей безпеки вашого проєкту. Дозвольте експертам Kingston допомогти вам.

Зверніться до експерта

Пов’язані відео

Пов’язані публікації