Bir Uzmana Sorun
Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.
Bir Uzmana SorunSağlık kuruluşlarının veri güvenliği ile ilgili konularda görev yapıyorsanız, düzenlemelerin ve yasal sorumluluğun kuruluşunuzun tercih ettiği taşınmakta olan veri teknolojilerini etkilemede neden bu kadar önemli bir rol oynadığını merak ediyor olabilirsiniz. Sağlık sektörü için BT konusundaki en stres yaratan konulardan biri Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (Healthcare Insurance Portability and Accountability Act - daha çok HIPAA olarak bilinir) gibi veri güvenliği düzenlemelerine uyumun önemidir.
Bu stresin gerekçesi açıktır: Sağlık sektöründeki veri ihlalleri, genellikle gelir ve kurumsal itibar açısından açık ara en pahalı ve zarar verici olan ihlal türleridir. Sağlık sektöründeki veri ihallerinin ortalama maliyeti 2020 yılındaki 7,13 milyon ABD dolarından, 2021 yılında 9,23 milyon ABD dolarına yükseldi (2020'de 3,86 milyon ABD doları ve 2021'de 4,24 milyon ABD doları olan küresel ortalamaya kıyasla).
Düzenlemenin ciddiyeti nedeniyle olası HIPAA ihlalleri bile cezalandırılmaktadır. 2019 yılında University of Rochester Medical Center'dan şifrelenmemiş bir dizüstü bilgisayar ve flash bellek çalındı. Bu olay ve URMC'nin bu olayı ele alış biçimi, olası HIPAA ihlalleri nedeniyle Sivil Haklar Ofisi'ne 3 milyon ABD doları tutarında bir ödeme yapılmasını gerektirdi.
HIPAA'nın hastaları ve bilgilerini korumaya yönlik üç temel kuralı vardır:
Bu kurallar, kuruluşların ePHI (elektronik PHI) gizliliği ve güvenliğinin yanı sıra bu verilere yönelik tehditleri öngörme ve bu tehditlerden korunma sorumluluğuna sahip olmasını sağlar. Ancak, bunların yapılmasına yönelik belirli bir protokol, teknoloji veya standart belirtilmemektedir. Bunun nedeni siber güvenlik tehditlerinin değişmesiyle HIPAA güvenlik teknolojileri de değişmesinin gerekmesidir. Yasayı belirli teknolojilere bağlayarak yasanın etkinliğini zayıflatacak bir adım olabilecek şekilde hangi şifreleme protokollerinin gerekli olduğunu belirtmek yerine yasada sadece ePHI'yi korumak için kullanılan güvenlik standartlarının gücü ve güvenilirliği şart koşulmaktadır. Bu durum NIST'in (National Institute of Science and Technology - Ulusal Bilim ve Teknoloji Enstitüsü) tavsiyesi üzerine, yasanın geleceğin getireceklerine daha dayanıklı kılmak amacıyla belirlenmiştir. Kuruluşlar kendi koşullarına en uygun çözümü seçebilir ve sistemlerine uygulayabilirler.
HIPAA, verilerin ‘saklanan’ ya da ‘taşınan’ olmasına bağlı olarak şifreleme yazılımlarından farklı işlevler gerektirmektedir.
Saklanan: veriler etkin değildir, bir sabit sürücüde veya SSD'de ya da tablet gibi bir cihazda saklanmaktadır. Veriler gelişmiş şifreleme, tam disk/sanal disk güvenliği ve mobil cihaz şifrelemesi (ilgili durumlarda) ile korunmalıdır.
Taşınan: E-posta üzerinden, buluta veya bir sunucu ile mobil cihaz arasında aktarım gibi bir gönderici ile hedef arasında etkin biçimde hareket eder.
HIPAA uyumluluğu, AES-256 gibi Kaba Güç (Brute Force) uygulanması neredeyse imkansız olan ve ABD hükümeti tarafından gizli verilerin işlenmesi için onaylanan önlemlerle sağlanmaktadır. TLS (Transport Layer Security - Taşıma Katmanı Güvenliği), HTTPS, e-posta veya anlık mesajlar gibi güvenli veri iletimi için kullanılan başka bir protokoldür. Diğer güvenlik önlemleriyle birlikte AES-256’yı da kullanır. OpenPGP (Pretty Good Privacy) ve S/MIME da HIPAA ile uyumludur ancak AES-256 ve TLS 1.2'ye göre çoğu kişinin kullanımını zor bulduğu açık anahtar yönetimi gereksinimlerine sahiptir.
Genel öneri, güvenli sistemlerde saklanan veriler için AES-256 şifreleme ve taşınmakta olan veriler için TLS kullanılmasıdır. Ancak bu, güvenlik önlemlerinizin tümü ya da sonu değildir. HIPAA uyumlu güvenliğinizdeki zayıflıkları belirlemek ve azaltmak önemlidir.
HIPAA'nın teknik koruma önlemleri kafa karıştırıcı olabilir çünkü şifreleme gereklilikleri 'adreslenebilir' olarak adlandırılmaktadır. PHI’nin şifreleme anlatımı belirsizdir: “…varlıklar, gerekli görüldüğü durumlarda PHI’yi şifrelemek için bir mekanizma uygulamalıdır”.
Bu bağlamda, 'adreslenebilir' ifadesi, bir koruma önleminin veya eşdeğer bir alternatifin uygulanması gerektiği veya aksi durumda koruma önleminin neden uygulanmadığına dair haklı bir nedenin belgelenmesi gerektiği anlamına gelmektedir. Örneğin, bir güvenlik duvarı ile korunan dahili bir sunucu üzerinden yapılan kurum içi iletişimler, PHI bütünlüğü açısından dışarından kaynaklanan bir risk ortaya koymayabilir. Ancak, güvenlik duvarları ile korunan bir kuruluştan çıkan ePHI içeren iletişim artık adreslenebilir bir koruma önlemi kullanılarak ele alınmalıdır.
Kuruluşlar ePHI'yi yalnızca bu bilgiler yeterince korunuyorsa açık ağlar üzerinden e-posta yoluyla iletebilir. ePHI'nin gizliliğine, bütünlüğüne ve kullanılabilirliğine yönelik riskleri bulmak için bir risk analizi yapılmalıdır. Bu analizler sayesinde riskleri uygun bir düzeye indirmeye yönelik bir risk yönetimi planı oluşturulabilir.
Mesajlar için evrensel şifreleme yaygın bir risk yönetimi yöntemidir. Bununla birlikte eşdeğer koruma seviyeleri şifreleme yerine kullanılabilir.
PHI’nin bütünlüğüne, kaybolan veya çalınan dizüstü bilgisayarlar ve flash belleklerin yanı sıra işyerindeki kişisel mobil cihazlar da zarar verebilir. 5 sağlık personelinden yaklaşık 4 tanesi iş akışı yönetimi için bir tablet kullanıyor. Forbidding the use of unencrypted devices in healthcare organizations would cause massive disruption to communication and other aspects of the healthcare industry besides.
Güvenli mesajlaşma platformları, PHI'yi hem saklamada hem de taşınma sırasında şifreleyerek HIPAA şifreleme gereksinimlerine uygun olduklarından bu soruna olası bir çözüm sunarlar. PHI içeren iletişimler, yetkisiz bir şekilde ele geçirilir veya bunlara erişilirse deşifre edilemez. Güvenli mesajlaşma çözümleri hem HIPAA e-posta şifreleme gereksinimlerini hem de erişim kontrolü, denetim kontrolleri, bütünlük kontrolleri ve kimlik doğrulama gereksinimlerini karşılar. Bu çözüm, çağrı cihazlarından çok daha kullanışlıdır ve tıbbi bilgilerin (görüntüler dahil) güvenli bir şekilde paylaşılmasını sağlar.
Teknoloji ilerledikçe ve siber suçlar daha gelişmiş hale geldikçe, hastaların korumalı sağlık bilgilerini taşınma sırasında korumak için HIPAA ve diğer yasalara uygunluk gereksinimi daha da katı hale gelecektir.
#KingstonIsWithYou
Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.
Bir Uzmana Sorun