Bảo mật dữ liệu đang được truyền đi

HIPAA có những yêu cầu khác nhau đối với phần mềm mã hóa, tùy vào trạng thái là đang lưu trữ’ hay đang truyền’.

Đang lưu trữ: dữ liệu bất hoạt, được lưu trữ trong ổ cứng, ổ SSD hoặc trên một thiết bị như máy tính bảng. Dữ liệu phải được bảo vệ bằng mã hóa nâng cao, chế độ bảo mật toàn bộ ổ đĩa/đĩa ảo và mã hóa thiết bị di động (nếu có thể).

Đang truyền: dữ liệu truyền chủ động giữa người gửi và điểm đến, chẳng hạn như qua email, truyền đến đám mây hoặc truyền giữa máy chủ và thiết bị di động.

Các tổ chức có thể tuân thủ HIPAA thông qua những biện pháp như AES-256. Biện pháp này gần như miễn dịch với tấn công Brute Force và được chính phủ Hoa Kỳ phê duyệt để xử lý dữ liệu mật. TLS (Bảo mật tầng giao vận) là một giao thức khác để truyền dữ liệu bảo mật, chẳng hạn như HTTPS, email hoặc IM. Giao thức này cũng sử dụng AES-256, kết hợp với các biện pháp bảo mật khác. OpenPGP (Pretty Good Privacy) và S/MIME cũng tuân thủ theo HIPAA nhưng hai biện pháp này có yêu cầu về quản lý khóa công khai, khiến nhiều người thấy khó sử dụng hơn so với AES-256 và TLS 1.2.

Khuyến nghị phổ biến là các hệ thống bảo mật sử dụng mã hóa AES-256 cho dữ liệu đang lưu trữ và TLS cho dữ liệu đang truyền đi. Tuy nhiên, đây không phải là yếu tố thiết yếu nhất trong các biện pháp bảo mật. Điều quan trọng là cần xác định và giảm thiểu điểm yếu trong lớp bảo mật tuân thủ HIPAA của bạn.

• Nhân viên & đào tạo (tấn công phi kỹ thuật): không còn mới mẻ gì nữa vì đó là sự thật – con người là mắt xích yếu nhất trong hệ thống an ninh mạng và trong ngành y tế cũng vậy
• Thiết bị bị mất hoặc đánh cắp: như đã đề cập trước đó, nếu làm thất lạc máy tính xách tay, ổ flash, điện thoại hoặc thiết bị khác có chứa ePHI thì số tiền đền bù thiệt hại có thể lên đến cả triệu đô la
• Đối tác bên thứ ba: mọi nhà cung cấp dịch vụ đám mây hoặc CNTT bên thứ ba có quyền xử lý ePHI đều phải tận tâm với các tiêu chuẩn bảo mật kỹ thuật, tương tự như nhà cung cấp dịch vụ y tế hoặc dịch vụ họ hợp tác
• Hệ thống/máy chủ email không bảo mật: nếu trong tổ chức vẫn có người sử dụng máy khách hoặc máy chủ email không bảo mật, hãy ngăn cản họ
• Mã hóa yếu: những đột phá về công nghệ máy tính, đặc biệt là điện toán lượng tử, đồng nghĩa với việc các tiêu chuẩn mã hóa cũ bấy lâu nay được xem là bảo mật thực chất lại đầy lỗ hổng nguy hiểm cho bọn tội phạm mạng ngày nay lợi dụng
• Mật khẩu và chứng chỉ mã hóa lỗi thời: các mật khẩu mã hóa dùng quá thời hạn NIST khuyến nghị hoặc sau một vụ vi phạm dữ liệu có thể khiến tổ chức dễ bị tổn hại

Các biện pháp bảo vệ kỹ thuật của HIPAA có thể gây bối rối vì các yêu cầu mã hóa được gọi là khả định’. Cách diễn đạt về mã hóa PHI rất mơ hồ: “… các tổ chức cần triển khai cơ chế mã hóa PHI bất cứ khi nào được xem là thích hợp”.

Trong ngữ cảnh này, khả định’ nghĩa là tổ chức cần triển khai biện pháp bảo vệ hoặc biện pháp thay thế tương đương, nếu không thì phải ghi lại lý do chính đáng vì sao không sử dụng biện pháp bảo vệ. Ví dụ: thông tin liên lạc nội bộ gửi qua máy chủ nội bộ có tường lửa bảo vệ sẽ không khiến tính toàn vẹn của PHI chịu rủi ro từ các nguồn bên ngoài. Tuy nhiên, khi thông tin liên lạc có chứa ePHI rời khỏi tổ chức có tường lửa bảo vệ, thông tin đó phải được xử lý bằng biện pháp bảo vệ khả định.

Các tổ chức chỉ có thể truyền ePHI qua email thông qua mạng mở nếu thông tin đó được bảo vệ đầy đủ. Cần tiến hành phân tích rủi ro để tìm ra các rủi ro gây ảnh hưởng đến tính bảo mật, tính toàn vẹn và tình trạng sẵn có của ePHI để đưa ra kế hoạch quản lý rủi ro, mục đích là để giảm rủi ro xuống mức độ thích hợp.

Mã hóa tin nhắn chung là một phương pháp quản lý rủi ro phổ biến, dù tổ chức cũng có thể sử dụng các mức độ bảo vệ tương đương thay vì mã hóa.

Cũng giống như máy tính xách tay và ổ flash bị mất hoặc đánh cắp, các thiết bị di động cá nhân ở nơi làm việc có thể làm suy yếu tính toàn vẹn của PHI. Cứ 5 chuyên gia y tế thì có 4 người sử dụng máy tính bảng để quản lý quá trình làm việc. Việc cấm sử dụng thiết bị không mã hóa trong các tổ chức y tế sẽ gây gián đoạn thông tin liên lạc nghiêm trọng, cũng như ảnh hưởng đến các khía cạnh khác của ngành y tế.

Giải pháp khả thi cho vấn đề này là sử dụng các nền tảng nhắn tin bảo mật. Những nền tảng này mã hóa PHI cả khi đang lưu trữ và khi truyền, từ đó tuân thủ theo các yêu cầu mã hóa HIPAA. Thông tin liên lạc có chứa PHI không thể giải mã được nếu bị chặn hoặc truy cập trái phép. Các giải pháp nhắn tin bảo mật không chỉ đáp ứng yêu cầu mã hóa email HIPAA mà còn cả các yêu cầu về kiểm soát truy cập, kiểm soát kiểm tra, kiểm soát tính toàn vẹn và xác thực ID. Giải pháp này hữu ích hơn nhiều so với máy nhắn tin, cho phép chia sẻ thông tin y tế (bao gồm cả hình ảnh) một cách bảo mật.

Khi công nghệ tiến triển và tội phạm mạng ngày càng tinh vi hơn, nhu cầu tuân thủ quy định HIPAA và các luật khác để bảo vệ thông tin y tế bảo mật của bệnh nhân khi đang truyền đi sẽ ngày càng được đề cao hơn.

#KingstonIsWithYou