Pergunte a um Especialista
Planejar a solução certa de memória exige um conhecimento das metas de segurança de seu projeto. Deixe que os especialistas da Kingston orientem você.
Pergunte a um EspecialistaSe você está envolvido em segurança de dados para organizações de saúde, uma coisa que você pode estar se perguntando é por que os regulamentos e a responsabilidade legal desempenham um papel tão importante na influência das tecnologias de dados em trânsito que sua organização escolhe. Um dos maiores fatores de tensão em torno de TI para o setor de saúde é a importância da conformidade com os regulamentos de segurança de dados, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (mais conhecido como HIPAA).
Essa tensão não é infundada: as violações de dados de saúde geralmente são, de longe, as mais caras e prejudiciais em termos de receita e reputação organizacional. O custo médio de uma violação de dados no setor de saúde cresceu de US$ 7,13 milhões em 2020 para US$ 9,23 milhões em 2021, em comparação com a média global de US$ 3,86 milhões em 2020 e US$ 4,24 milhões em 2021.
Mesmo potenciais violações da HIPAA são punidas, tal é a gravidade do regulamento. Em 2019, um laptop não criptografado e um pendrive foram roubados do Centro Médico da Universidade de Rochester. Este evento, e a forma como o URMC o tratou, exigiu um pagamento de US$ 3 milhões ao Escritório de Direitos Civis em um acordo por possíveis violações da HIPAA.
A HIPAA tem três regras fundamentais para proteger os pacientes e suas informações:
Essas regras garantem que as organizações sejam responsáveis pela confidencialidade e segurança da ePHI (PHI eletrônica), bem como pela antecipação e proteção contra ameaças a esses dados. No entanto, não indicam um protocolo, tecnologia ou padrão específico para isso. Isso ocorre porque, à medida que as ameaças à segurança cibernética evoluem, as tecnologias de segurança da HIPAA também devem evoluir. Em vez de especificar quais protocolos de criptografia eram necessários, uma medida que teria prejudicado a eficácia da lei ao vinculá-la a tecnologias específicas, a legislação simplesmente estipulou a força e a confiabilidade dos padrões de segurança quando usados para proteger ePHI. Isso foi feito sob o conselho do NIST (Instituto Nacional de Ciência e Tecnologia), de modo a tornar a lei mais adaptada para o futuro. As instituições podem escolher a solução mais adequada às suas circunstâncias e aplicá-la ao seu sistema.
A HIPAA requer coisas diferentes do software de criptografia, dependendo se está ‘em repouso’ ou ‘em trânsito’.
Em repouso: os dados estão inativos, armazenados em um disco rígido ou SSD ou em um dispositivo como um tablet. Os dados devem ser protegidos por criptografia avançada, segurança de disco rígido/disco virtual e criptografia de dispositivo móvel (quando aplicável).
Em trânsito: movendo-se ativamente entre um emissor e um destinatário, como por e-mail, transmitindo para a nuvem ou entre um servidor e um dispositivo móvel.
A conformidade com a HIPAA é possível por medidas como o AES-256, quase inviável a ataques de força bruta e aprovado para manipulação de dados confidenciais pelo governo dos EUA. TLS (Segurança da Camada de Transporte) é outro protocolo para transmissão segura de dados, como HTTPS, e-mail ou mensagens instantâneas. Também usa-se AES-256, combinado com outras medidas de segurança. OpenPGP (Pretty Good Privacy) e S/MIME também estão em conformidade com a HIPAA, mas possuem requisitos de gerenciamento de chave pública que muitos consideram trabalhosos de usar em comparação com AES-256 e TLS 1.2.
A recomendação mais comum é que os sistemas seguros usem criptografia AES-256 para dados em repouso e TLS para dados em trânsito. No entanto, este não é o início e o fim de todas as suas medidas de segurança. É importante identificar e mitigar os pontos fracos em sua segurança compatível com a HIPAA.
As proteções técnicas da HIPAA podem ser confusas porque os requisitos de criptografia são chamados de ‘endereçáveis. A redação para criptografia da PHI é vaga: “…as instituições devem implementar um mecanismo para criptografar PHI sempre que julgar apropriado”.
Neste contexto, ‘endereçável significa que uma proteção ou alternativa equivalente deve ser implementada, ou então uma razão justificável para a não utilização da proteção deve ser documentada. Por exemplo, comunicações internas por meio de um servidor interno protegido por um firewall podem não apresentar risco à integridade da PHI de fontes externas. No entanto, a comunicação contendo ePHI que deixa uma instituição protegida por firewalls agora deve ser tratada usando uma proteção endereçável.
As instituições só podem transmitir ePHI por e-mail em redes abertas se essas informações estiverem adequadamente protegidas. Uma análise de risco deve ser feita para encontrar ameaças à confidencialidade, integridade e disponibilidade de ePHI, para que um plano de gestão de risco possa ser elaborado para reduzir essas ameaças a um nível satisfatório.
A criptografia universal para mensagens é um método comum de gestão de risco, embora níveis de proteção equivalentes possam ser usados no lugar da criptografia.
Assim como laptops e pendrives perdidos ou roubados, os dispositivos móveis pessoais no local de trabalho podem prejudicar a integridade da PHI. Cerca de 4 em cada 5 profissionais de saúde usam um tablet para gerenciamento de fluxo de trabalho. Proibir o uso de dispositivos não criptografados em organizações de saúde causaria uma interrupção maciça na comunicação e em outros aspectos do setor de saúde.
As plataformas de mensagens seguras oferecem uma solução possível para esse problema, pois atendem aos requisitos de criptografia da HIPAA ao criptografar PHI tanto em repouso quanto em trânsito. Informações contendo PHI são indecifráveis se interceptadas ou acessadas sem autorização. As soluções de mensagens seguras não apenas atendem aos requisitos de criptografia de e-mail da HIPAA, mas também aos requisitos de controle de acesso, controles de auditoria, controles de integridade e autenticação de ID. Esta solução é muito mais útil do que pagers, permitindo que informações de saúde (incluindo imagens) sejam compartilhadas com segurança.
À medida que a tecnologia avança e o crime cibernético se torna mais sofisticado, a necessidade de conformidade regulatória com a HIPAA e outras legislações para proteger as informações de saúde privadas em trânsito dos pacientes só se tornará mais rígida.
#KingstonIsWithYou
Planejar a solução certa de memória exige um conhecimento das metas de segurança de seu projeto. Deixe que os especialistas da Kingston orientem você.
Pergunte a um Especialista