Роль кибербезопасности в поддержании соответствия HIPAA

Опубликовано: 2023-02-15

В 2022 году отчет показал, что здравоохранение было наиболее целевым сектором киберпреступности. Программа-вымогатель, несанкционированный доступ и компрометация электронной почты входят в число основных типов инцидентов с угрозами. Но в этом нет ничего удивительного, учитывая объем личных и частных данных, собираемых и управляемых организациями здравоохранения. Каждая украденная защищенная медицинская информация (PHI) приравнивается к деньгам для киберпреступников.

Однако мы должны понимать, что киберугрозы не только используют PHI, но и ставят под угрозу соблюдение компанией Закона о переносимости и подотчетности медицинского страхования (HIPAA). Тем не менее, организациям здравоохранения во всем мире крайне важно принять меры уже сейчас, чтобы избежать рисков несоблюдения требований, начиная с кибербезопасности. В этом блоге объясняется, как кибербезопасность может помочь в соблюдении требований HIPAA. Во-первых, давайте подробнее рассмотрим HIPAA, чтобы лучше понять, что это такое.

Что такое соответствие HIPAA?

Во-первых, HIPAA означает Закон о переносимости и подотчетности медицинского страхования, который был принят в 1996 году. Он направлен на защиту конфиденциальности и безопасности медицинских карт и другой медицинской информации. Соответствие HIPAA гарантирует, что вся личная информация о состоянии здоровья находится в безопасности и что люди имеют определенные права в отношении использования и раскрытия своих данных.

Все поставщики медицинских услуг, организации и деловые партнеры должны соблюдать правила HIPAA при сборе, хранении и передаче защищенной медицинской информации (PHI). Они также должны применять соответствующие административные, физические и технические меры безопасности. Кроме того, организации должны уведомлять физических лиц об их правах в соответствии с HIPAA и обеспечивать разрешение любого использования или раскрытия PHI. Несоблюдение может привести к юридическим санкциям и штрафам.

Чтобы обеспечить соответствие, организации должны быть в курсе всех правил HIPAA и регулярно пересматривать свои методы и процедуры.

Почему кибербезопасность важна для соответствия требованиям HIPAA?

Сегодня HHS (Министерство здравоохранения и социальных служб США) требует, чтобы поставщики медицинских услуг и другие организации, которые обрабатывают конфиденциальные данные пациентов, обеспечивали физическую и техническую безопасность. Это связано с тем, что большая часть медицинской информации переместилась в компьютеризированные операции, такие как компьютеризированные системы ввода медицинских заказов (CPOE) и электронные медицинские карты (EHR). И хотя эти технологические приемы повышают производительность и мобильность, они также значительно повышают угрозу безопасности медицинских данных.

Другая причина заключается в том, что правительство США приняло дополнительный закон для обеспечения соответствия HIPAA под названием «Закон о медицинских информационных технологиях для экономического и клинического здравоохранения» (HITECH). Это увеличивает штрафы для подпадающих под действие организаций, которые нарушают правила HIPAA.

В свете этого для организаций здравоохранения крайне важно иметь надежные меры кибербезопасности для защиты медицинской информации, защищенной электронным способом (ePHI), и поддерживать соответствие требованиям HIPAA. Мы перечислили некоторые из лучших практик кибербезопасности, которым вы можете следовать:

Лучшие практики

Ограничить контроль доступа

Учитывая, насколько конфиденциальны данные, с которыми имеют дело организации здравоохранения, лучше всего ограничить контроль доступа, чтобы обеспечить его безопасность. Ограничьте доступ уполномоченному персоналу, который управляет данными и защищает конфиденциальность пациентов. Это снижает риск несанкционированного доступа или любого изменения или удаления ePHI.

Зашифруйте свои данные

Ограничения доступа недостаточно. Если данные не управляются должным образом, злоумышленники смогут получить к ним доступ. Тем не менее, системы здравоохранения должны обеспечить защиту ePHI во время транспортировки и хранения. Это можно сделать, зашифровав файлы перед их сохранением или само устройство хранения. То же самое касается передаваемых данных — они могут шифровать данные перед передачей и использовать зашифрованные соединения через HTTPS, TLS, SSL и т. д.

Используйте надежные пароли и регулярно обновляйте их

Еще один способ защитить ePHI — использовать уникальные идентификаторы пользователей и пароли. Хотя это часто упоминается в каждом блоге о кибербезопасности, который вы читаете, многие до сих пор игнорируют этот шаг. И это только увеличивает их риски утечки данных. Важно как можно чаще использовать сложные пароли. Включите цифры и специальные символы, чтобы избежать утечки данных. И даже усилить безопасность может помочь периодическая смена паролей.

Безопасные беспроводные сети

Поскольку организации здравоохранения переходят на модель удаленной работы, внутренние ИТ-отделы должны обеспечить удаленную безопасность и защиту ePHI. Один из способов сделать это — предоставить сотрудникам предварительно настроенные устройства, соответствующие стандартам безопасности, и использовать зашифрованные виртуальные частные сети (VPN) для защиты действий в Интернете. Используя VPN, вы устанавливаете безопасный зашифрованный канал связи между домашней сетью и корпоративной сетью.

Сделайте резервную копию ваших данных

Наличие резервной копии данных поможет вам гарантировать, что данные в безопасности и останутся доступными в случае аварии, сбоя системы или другого случая потери данных. Он обеспечивает дополнительный уровень защиты, позволяющий быстро и точно восстанавливать критически важную информацию. Кроме того, резервное копирование данных помогает обеспечить отслеживание, мониторинг и безопасное хранение любых изменений или редакций защищенной медицинской информации. Поэтому любые организации, подпадающие под действие HIPAA, не должны пропускать этот шаг.

Обучите своих сотрудников

Наконец, ваши сотрудники должны пройти базовое обучение кибербезопасности, поскольку они могут стать легкой мишенью для злоумышленников. Они должны научиться понимать:

  • Что представляет собой нарушение
  • Рекомендации по предотвращению взлома
  • Действия в случае возможного нарушения
  • Важность обеспечения безопасности и конфиденциальности для соответствия HIPAA

Обучение ваших сотрудников снизит риски кибербезопасности, которые могут привести к несоблюдению требований HIPAA.

Нижняя линия

В связи с растущими угрозами для организаций здравоохранения во всем мире им необходимо вывести свои инвестиции в кибербезопасность на новый уровень, увеличить бюджеты на ИТ и внедрить лучшие практики, описанные в этом блоге. Выполнение всего этого может помочь защитить огромное количество информации о пациентах, что обеспечивает соответствие требованиям HIPAA.

Однако помните, что применяемые вами политики, процедуры и технологии должны соответствовать размеру вашей организации, организационной структуре и рискам для ePHI. Это поможет вам сэкономить много денег, обеспечив при этом эффективность вашей кибербезопасности.