ארגוני שירותי בריאות יכולים להשתמש ב-5 האסטרטגיות הללו כדי לאבטח מידע בריאותי מוגן אלקטרוני (ePHI).
מה זה ePHI?
מידע בריאותי מוגן אלקטרוני (ePHI – Electronic protected health information) הוא מידע רגיש ופרטי שחשוב לשמור עליו בטוח ומאובטח. כדי שנתוני בריאות ייחשבו למידע בריאותי מוגן ומוסדר על ידי תאימות HIPAA, צריכים להיות שני דברים:
- זיהוי אישי למטופל
- פרטים של מטופל שנוצרו, השתמשו או נחשפו מטעם גוף / מוסד במהלך הטיפול
פרצות אבטחת הסייבר הגיעו לשיא של כל הזמנים בשנה שעברה, וחשפו כמות שיא של נתוני מטופלים. מספר האנשים שנפגעו מהפרות מידע בתחום הבריאות גדל פי 3 בשלוש השנים האחרונות, מה שהופך את ההגנה על PHI חשובה וקשה מתמיד (היכנסו וקראו עוד על PHI).
הקפדה על הגנת ePHI עוזרת להבטיח את פרטיות המטופל והיא המטרה של כלל האבטחה HIPAA שהוקם על ידי משרד הבריאות והשירותים האמריקני (HHS). כלל האבטחה מגדיר איזה מידע מוגן ואילו אמצעי הגנה צריכים להיות במקום כדי להבטיח הגנה מתאימה של ePHI. יש להגן על ה-ePHI שישות או שותף עסקי מכוסה יוצר, מקבל, מתחזק או משדר מפני איומים, סיכונים ושימושים ו/או גילויים בלתי מותרים הצפויים.
כלל האבטחה מחייב ישויות לשמור על אמצעי הגנה אדמיניסטרטיביים, טכניים ופיזיים סבירים ומתאימים להגנה על ePHI. להלן 5 מהאסטרטגיות הקריטיות ביותר המכוסות בכלל האבטחה של HIPAA שצריך להגן על ePHI כך שמשתמשים לא מורשים לא יוכלו לגשת למידע סודי ואישי.
1. הדרכה למודעות אבטחת מידע בראש סדר העדיפויות
הצעד הראשון שגופים ושותפים עסקיים צריכים לנקוט כדי לאבטח כראוי מידע בריאותי של חולים הוא חינוך הצוות על מהי ePHI וכיצד להגן עליו. בשנת 2021, השימוש באישורים גנובים, דיוג, שימוש לרעה או טעות אנוש היווה 82% מהפרצות לנתונים.
קבלת הדרכה בנושא מודעות לאבטחה היא הצעד הראשון ללמוד כיצד להגן על ePHI. הכשרות הצוותים הרפואיים הללו ילמדו אותם על האיומים הנוכחיים ועל תפקידם באבטחת מידע מזוהה הקשור לבריאות. בנוסף, ביצוע סימולציות דיוג מתמשכות יאפשר לארגונים למדוד עד כמה ההכשרה שלהם עובדת.
2. לזהות היכן מאוחסן ePHI
אחד המרכיבים החשובים ביותר בהגנה על ePHI הוא תיעוד היכן מאוחסן כל ePHI. ניתן להשתמש בפתרונות מניעת אובדן נתונים כדי לגלות ePHI ברחבי הארגון, כמו גם לאכוף כללים ומדיניות למניעת אובדן נתונים ודליפת נתונים. ביצוע מלאי של כל חומרת הרשת וכן כל יישומי האינטרנט המאחסנים נתוני חברה יעזור לוודא שכל הנתונים הרגישים מובאים בחשבון. סיווג נתונים יכול גם להיות מועיל בזיהוי נתונים רגישים קדימה.
3. אכיפת מדיניות בקרת גישה
אכיפת מדיניות בקרת גישה היא קריטית. לעובדים בחברה שלך צריכה להיות רמת הגישה המינימלית ל-ePHI שהם צריכים כדי לבצע את עבודתם. כל רישומי חולים מיותרים שיש להם גישה אליהם מהווה הפרה של כלל האבטחה HIPAA ומהווה סיכון מיותר לארגון שלך.
דרישת מזהה ייחודי וסיסמה מורכבת עבור כל משתמש חשובה כדי שהחשבון שלך יישאר מאובטח. בעת יצירת סיסמאות, לעולם אל תשתמש באותה סיסמה במספר חשבונות. אם חשבון אחד נפרץ ואישורי המשתמש נפגעים, עליך להניח שהאישורים יימכרו בשוק השחור. זה יכול להיות מסוכן ביותר אם אישורים אלה מאפשרים למישהו עם כוונת זדון לגשת לחשבונות אחרים המכילים ePHI. הטמעת אימות רב-גורמי עבור כל אתר שמכיל ePHI הוא אחד מאמצעי האבטחה החשובים ביותר שתוכל להפעיל כדי להגן מפני גישה לא מורשית.
ניטור יומן קבוע יעזור לך לזהות גישה לא מורשית או פעילות חשודה בחשבונות שלך במהירות. ברגע שאתה מבין שיש פעילות חשודה, אתה יכול לנקוט בפעולה מיידית, מה שימנע מהפרה לעבור מחוסר תשומת לב לפרק זמן ממושך. אכיפה של טיימרים לחוסר פעילות מערכת תמנע ממשתמשים לא מורשים לצפות ב-ePHI כאשר משתמש מתרחק מהמחשב שלו או שוכח לצאת מחשבון. הטיימר ינתק את המשתמש באופן אוטומטי לאחר תקופה מסוימת של חוסר פעילות.
חשוב ביותר שעובדים שיש להם גישה ל-ePHI יישאו באחריות בכך שהם יחתמו על מדיניות השימוש והסנקציות של החברה, המגדירים כיצד יש להשתמש במידע המטופל וההשלכות להפרת המדיניות שנקבעה. ניהול בקרת גישה והטלת אחריות על העובדים על השימוש והחשיפה של ePHI יצמצמו את הסיכון שמידע פרטי יגיע לידיים הלא נכונות.
שירותי אבטחת מידע ב cybersafe:
- מבדקי חדירות Penetration test
- שירותי Siem Soc
- שירותי Ciso as a service
- יישום תקנות הגנת הפרטיות GDPR
- עמידה בתקן ISO 27001
- שירותי סייבר לעסקים
4. הטמעת פתרון גיבוי נתונים מקומיים ומחוצה לו
רוב הארגונים מבינים את החשיבות של גיבוי תמונה באתר, אבל בסביבה של היום פער אוויר הוא קריטי. פער אוויר הוא אמצעי הגנה מתקדם על נתונים המבודד את הגיבוי מסביבת הייצור ושומר אותו מאובטח מפני תוכנות כופר או כל אסון אחר המשפיע על סביבת הייצור. שכפול גיבוי מחוץ לאתר הוא קריטי מכיוון שהוא מאפשר לשחזר נתונים במקרה של אסון המערב את הסביבה המקומית. אימות שלמות הגיבוי יומי יבטיח שניתן לשחזר נתונים במידת הצורך.
גיבוי של יישומי אינטרנט הוא משהו שארגונים רבים לא חושבים עליו, וזה מדאיג מאחר שהתקפות של יישומי אינטרנט הן אחד הגורמים העיקריים לפרצות מידע בתחום הבריאות בשנת 2022. חשוב לוודא שכל היישומים המכילים ePHI מגובים וניתנים לשחזור.
תאימות HIPAA מחייבת ארגונים לתעד התאוששות מאסון ותוכניות המשכיות עסקית כדי להבטיח שתמיד ניתן לגשת למידע המטופל בעת הצורך. הקפדה על כך תעשה את תהליך ההתאוששות להרבה יותר קל במקרה של אסון מכיוון שכולם יידעו את האסטרטגיה המדויקת.
5. בניית תשתית עמידה
הצפנת דיסק מלאה היא קריטית להגנה על ePHI. ההצפנה תהפוך את הנתונים שנשמרו במחשב או במכשיר נייד לבלתי אפשרי לצפייה אם המכשיר אבד או נגנב מכיוון שהוא דורש את מפתח ההצפנה המדויק כדי שהנתונים יהיו נגישים. למעשה, אם מכשיר מוצפן ולאחר מכן אובד או נגנב, זה לא נחשב להפרת נתונים לפי תקנות HIPAA. (קראו עוד כיצד הצפנה יכולה למנוע פריצת נתונים).
שימוש במערכת הפעלה נתמכת והחלת תיקוני אבטחה בזמן הוא קריטי. אם המערכת לא עודכנה או שחסרים בה עדכוני אבטחה חשובים, המידע הרגיש יהפוך לפגיע. תוכנה זדונית היא מונח המתייחס לווירוסים ותוכנות מזיקות אחרות בהן פושעי סייבר משתמשים כדי לקבל גישה למידע פרטי. על מנת לאשר ש-ePHI מאובטח, הארגון חייב ליצור תשתית IT המגנה על כל מכשירי העובדים מפני תוכנות זדוניות על ידי התקנת תוכנת אנטי תוכנות זדוניות מהדור הבא שמזהה ומבודדת תוכנות זדוניות במקום.
הקמת חומות אש מתקדמות מהדור הבא (קראו עוד על שירותי WAF) עם מניעת חדירה מופעלת כמו גם הטמעת פילוח רשת הם קריטיים על מנת לחסום את ניסיונות האקרים לקבל גישה לרשת ולמזער נזקים במקרה שהם מצליחים. סילוק כוננים קשיחים כהלכה תוודא שמידע פרטי לא יגיע לידיים הלא נכונות. יש למחוק את כל המידע הבריאותי המאפשר זיהוי אישי או להרוס את הכונן הקשיח לפני לזרוק אותו. למטרות ציות, הקפידו לקבל תעודת השמדה מהספק שעושה את השמדת מדיה אלקטרונית עבורכם.
אבטחת שכבת DNS חיונית במניעת ניסיונות הסתננות וחדירה. זה חוסם בקשות בכל יציאה או פרוטוקול שבו תחומים ותשתיות אינטרנט אחרות מבוימות. זה מפסיק התקפות תוכנות זדוניות מוקדם יותר וזה ימנע התקשרות חוזרת לתוקפים אם מכונות נגועות יתחברו לרשת שלך. הטמעת גישה מאובטחת מרחוק היא קריטית מכיוון שיותר ויותר משתמשים עובדים מרחוק. פתרונות כגון Citrix ו-TruGrid הם אפשרויות מצוינות לאבטחת גישה למשאבי החברה מרחוק.
פתרון דואר אלקטרוני ברמה עסקית והוספת יכולת הצפנה, כמו גם הגנה מתקדמת על איומים היא חובה. רוב התקפות תוכנות הכופר מועברות באמצעות דואר אלקטרוני, וחשוב מאוד לוודא שהטמעתם מספיק שכבות אבטחת דוא"ל.
לסיכום
הגנה על ePHI מחייבת יישום אסטרטגיה רב-שכבתית הכוללת את כל אמצעי האבטחה המפורטים לעיל. עם פרצות נתונים בשיא כל הזמנים, חשוב שתטמיעו את אמצעי ההגנה הדרושים כדי להבטיח שאתם עושים הכל כדי לשמור על אבטחת ePHI.
האם הארגון שלכם עושה מספיק כדי להגן על ePHI?
זקוקים לעזרה בהגנה על תאימות ePHI או עמידה בתקן HIPAA או ביצוע ניתוח סיכוני אבטחה? התקשרו אל המומחים של Cybersafe או השאירו פרטים