Keamanan Data dalam Transit

HIPAA mensyaratkan beberapa hal berbeda pada perangkat lunak enkripsi tergantung apakah data‘dalam keadaan diam atau ‘dalam transit.

Diam: data sedang tidak aktif, tersimpan dalam drive hard disk atau SSD, atau pada perangkat seperti tablet. Data harus dilindungi dengan kriptografi tingkat lanjut, keamanan disk penuh/disk virtual, serta enkripsi perangkat seluler (jika dapat diterapkan).

Dalam transit: bergerak secara aktif antara pengirim dan tujuan, seperti melalui email, transmisi ke cloud, atau antara server dan perangkat seluler.

Kepatuhan HIPAA dimungkinkan dengan tindakan seperti AES-256, yang hampir tidak mungkin ditembus oleh brute force dan telah diakui oleh pemerintah AS untuk penanganan data rahasia. TLS (Transport Layer Security) adalah protokol lain untuk mengamankan transmisi data, seperti HTTPS, email, atau IM. TLS juga menggunakan AES-256, yang digabungkan dengan tindakan keamanan lainnya. OpenPGP (Pretty Good Privacy) dan S/MIME juga sesuai dengan HIPAA, tetapi memiliki persyaratan manajemen kunci publik yang bagi kebanyakan orang agak sulit untuk digunakan bila dibandingkan dengan AES-256 dan TLS 1.2.

Rekomendasi yang umum adalah sistem yang aman sebaiknya menggunakan enkripsi AES-256 untuk data dalam keadaan diam, dan TLS untuk data dalam transit. Namun, rekomendasi ini bukan satu-satunya tindakan keamanan Anda. Mengidentifikasi dan mengurangi kelemahan adalah hal penting dalam tindakan keamanan untuk mematuhi HIPAA.

• Staf & pelatihan (rekayasa sosial): ini hal yang klise karena memang benar. Manusia adalah mata rantai terlemah dalam keamanan siber, dan hal yang sama juga terjadi di industri pelayanan kesehatan
• Perangkat yang hilang atau dicuri: seperti yang disebutkan sebelumnya, kehilangan laptop, flash drive, ponsel, atau perangkat lain yang berisi ePHI dapat dikenakan sangsi hingga nominal tujuh digit
• Partner pihak ketiga: setiap vendor cloud atau TI pihak ketiga yang menangani ePHI harus memiliki dedikasi yang sama terhadap standar keamanan teknis seperti halnya dedikasi dari penyedia pelayanan kesehatan atau layanan yang bekerja sama dengan mereka
• Sistem/server email yang tidak aman: siapa pun di organisasi Anda yang masih menggunakan klien atau server email yang tidak aman harus dihentikan
• Enkripsi yang lemah: terobosan dalam teknologi komputer, terutama komputasi kuantum, menyebabkan standar enkripsi sebelumnya yang selama ini dianggap cukup aman dapat menjadi celah berbahaya bagi para penjahat siber modern
• Kunci dan sertifikat enkripsi yang tidak diperbarui: kunci enkripsi yang tetap digunakan setelah melebihi rekomendasi masa pemakaian NIST, atau setelah terjadinya pelanggaran data, dapat memaparkan organisasi pada bahaya　　

Tindakan pengamanan teknis pada HIPAA dapat membingungkan karena persyaratan enkripsi disebut sebagai hal yang dapat ditinjau‘(addressable). Terdapat penggunaan kata-kata yang tidak jelas mengenai enkripsi PHI: “…entitas harus melaksanakan mekanisme untuk mengenkripsi PHI apabila dianggap tepat”.

Dalam konteks ini,‘ 'dapat ditinjau' berarti tindakan pengamanan atau alternatif yang setara harus diterapkan, atau jika tidak, harus didokumentasikan alasan yang dapat diterima untuk tidak menggunakan tindakan pengamanan itu. Misalnya, komunikasi internal melalui server internal yang dilindungi oleh firewall mungkin tidak menimbulkan risiko pada integritas PHI terhadap sumber serangan dari luar. Namun, komunikasi yang mengandung ePHI dan meninggalkan entitas yang dilindungi firewall kini harus ditangani dengan menggunakan tindakan pengamanan yang dapat ditinjau.

Entitas dapat mengirimkan ePHI menggunakan email melalui jaringan terbuka hanya jika informasi itu dilindungi dengan memadai. Analisis risiko harus dilakukan untuk menemukan berbagai risiko terhadap kerahasiaan, integritas, dan ketersediaan ePHI sehingga rencana manajemen risiko dapat dibuat untuk mengurangi berbagai risiko itu ke tingkat yang layak.

Enkripsi universal untuk pesan adalah metode umum manajemen risiko, meskipun tingkat perlindungan yang setara dapat digunakan sebagai pengganti enkripsi.

Selain laptop dan flash drive yang hilang atau dicuri, perangkat seluler pribadi di tempat kerja dapat mengurangi integritas PHI. Sebanyak 4 dari 5 profesional pelayanan kesehatan menggunakan tablet untuk manajemen aliran kerja. Pelarangan menggunakan perangkat tidak terenkripsi di organisasi pelayanan kesehatan akan menyebabkan gangguan sangat besar pada komunikasi dan aspek lain pada industri pelayanan kesehatan.

Platform olah pesan yang aman menawarkan kemungkinan solusi untuk masalah ini, karena platform itu memenuhi persyaratan enkripsi HIPAA dengan mengenkripsi PHI, baik saat data dalam keadaan diam maupun dalam transit. Komunikasi yang mengandung PHI tidak dapat diuraikan apabila komunikasi itu dihadang atau diakses tanpa izin. Solusi olah pesan yang aman tidak hanya memenuhi persyaratan enkripsi email HIPAA, tetapi juga persyaratan untuk kontrol akses, kontrol audit, kontrol integritas, dan autentikasi ID. Solusi ini jauh lebih berguna daripada penyeranta karena memungkinkan informasi medis (termasuk gambar) dibagikan dengan aman.

Seiring kemajuan teknologi dan kejahatan siber yang berkembang kian canggih, akan makin nyata pula kebutuhan akan kepatuhan regulasi pada HIPAA dan perundang-undangan lainnya guna mengamankan informasi kesehatan yang dilindungi dan dalam transit milik pasien.

#KingstonIsWithYou