Содержание
В то время, когда все в сфере здравоохранения обсуждают данные, концепции соответствия HIPAA и кибербезопасности могут сливаться воедино настолько, что становится неясно, где начинается одно и заканчивается другое.
В этой статье обсуждаются эти две концепции и помогает обрисовать их различия. Хотя между ними существует определенная степень совпадения, для предприятий отрасли здравоохранения важно иметь возможность различать роли HIPAA и кибербезопасности. Вооружившись этим пониманием, организации могут принимать эффективные решения, направленные на повышение соответствия требованиям и усиление кибербезопасности.
Соответствие HIPAA
HIPAA — это не просто рекомендация или отраслевой стандарт. Это федеральный закон США. Закон о переносимости и подотчетности медицинского страхования был принят в 1996 году для обеспечения защиты личной медицинской информации (PHI) от возникающих рисков безопасности и конфиденциальности. Закон распространяется на всех поставщиков медицинских услуг в США. Страховые компании, клиринговые центры здравоохранения и сторонние поставщики услуг (также известные как деловые партнеры), участвующие в сборе, хранении и передаче закрытой медицинской информации, также обязаны соблюдать эти правила.
Какие данные защищены HIPAA?
Итак, HIPAA защищает личную медицинскую информацию, но что именно под этим подразумевается? Ответом является любая информация, которая может быть использована для идентификации человека, которому принадлежит медицинская информация.
Сюда входят 18 типов данных, включая очевидные идентификаторы, такие как имена пациентов, номера социального страхования и номера телефонов, а также менее очевидные идентификаторы, такие как серийные номера медицинских устройств, URL-адреса веб-сайтов и биометрическая информация.
5 правил HIPAA
HIPAA излагает пять строгих положений, обеспечивающих соблюдение требований. Сюда входят известные Правило конфиденциальности и Правило безопасности, но и менее известный Правило уведомления о нарушениях, Правило обеспечения соблюдения, и Омнибусное правило.
Поставщики услуг должны соблюдать эти правила, иначе им грозят серьезные последствия, включая юридические и финансовые санкции. Управление по гражданским правам (OCR) Министерства здравоохранения и социальных служб США (HHS) может наложить гражданские денежные штрафы и потребовать план корректирующих действий (CAP) для устранения недостатков.
Помимо этих серьезных денежных штрафов и юридических проблем, несоблюдение требований может нанести непоправимый ущерб репутации медицинской организации. Это может иметь катастрофические последствия для доверия пациентов и потенциальных доходов..
1. Правило конфиденциальности
Правило конфиденциальности устанавливает стандарты защиты медицинских записей и другой закрытой медицинской информации. Пациенты должны предоставить свое письменное согласие, прежде чем какая-либо их ЗМИ может быть раскрыта. Это также требует внедрения механизмов контроля для обеспечения постоянной защиты PHI.
2. Правило безопасности
Правило безопасности определяет, как обрабатывается личная медицинская информация при ее хранении, передаче или совместном использовании. Сюда входят требования к целостности, конфиденциальности и доступности электронной ЗМИ (ePHI). Тщательный анализ рисков необходим для выявления уязвимостей в ИТ-системах и процедурах здравоохранения, чтобы при необходимости можно было снизить риски. Медицинские организации часто предпочитают вкладывать значительные средства в Программное обеспечение, совместимое с HIPAA решения для защиты себя и информации пациентов от утечки данных.
3. Правило уведомления о нарушении
В случае утечки PHI тем или иным образом организация должна отреагировать, немедленно уведомив HHS и пострадавших пациентов. В некоторых случаях организациям здравоохранения также может потребоваться уведомить средства массовой информации.
4. Правило принудительного исполнения
Правоприменительное правило устанавливает процедуры расследования и применения санкций к организациям, нарушающим положения HIPAA. Министерство здравоохранения и социальных служб имеет право начинать расследование любых жалоб. Если жалоба окажется правдивой, департамент может наложить денежные штрафы, чтобы наказать организацию за несоблюдение требований HIPAA.
5. Правило омнибуса
Омнибусное правило Первоначально он не был частью HIPAA, когда он был принят в 1996 году. Вместо этого он был добавлен в 2013 году, чтобы включить набор поправок к HIPAA. Эти поправки применяли обновления, внесенные Законом о медицинских информационных технологиях для экономического и клинического здравоохранения (HITECH) и Законом о недискриминации генетической информации (GINA).
Информационная безопасность
Кибербезопасность — это область информационных технологий (ИТ), ориентированная на защиту компьютерных систем, сетей и данных. Его задача — снизить риски санкционированного доступа и кражи данных. Хакеры, киберпреступникивредоносные агенты и даже инсайдеры (работающие внутри организации) могут представлять серьезную угрозу цифровым активам и данным.
Какие данные защищены?
Киберпреступники концентрируются на получении данных, которые позволяют им участвовать в мошеннических действиях, выдавать себя за ложные личности и без разрешения проникать в защищенные компьютерные системы и сети. Команды кибербезопасности внедряют средства контроля для защиты типов данных, которые регулярно становятся объектами атак киберпреступников:
- личная информация (PII)
- защищенная медицинская информация (PHI)
- информация об оплате и банковском счете
- данные социальных сетей
- учетные данные для входа
- интеллектуальная собственность
- конфигурации системы
5 ключевых мер кибербезопасности
Существуют десятки, если не сотни, проверенных мер по предотвращению атак кибербезопасности на компьютерные системы. Хотя эта статья даже не может охватить все из них, вот выборка из 5 важных мер:
1. Нулевое доверие и контроль доступа
Модель нулевого доверия основана на идее, что все учетные данные в сети следует рассматривать как ненадежные. А поскольку любые учетные данные считаются ненадежными, учетным данным предоставляется доступ только к тем системам и разрешениям, которые им необходимы. Когда контроль доступа осуществляется с такой степенью детализации, влияние украденных учетных данных гораздо меньше.
Разрешения регулярно проверяются ИТ-специалистами, чтобы гарантировать, что учетные данные не затрагивают разрешения, которые им больше не нужны.
2. Шифрование данных
Шифрование данных использует криптографические алгоритмы для преобразования читаемых данных в зашифрованный формат. Организации могут расшифровать данные обратно в обычный текст с помощью секретного ключа шифрования, но если злоумышленникам удастся получить доступ к зашифрованным данным, без ключа они будут бесполезны.
3. Сегментация сети
Крупная сеть подвергается повышенному риску вторжения, поскольку в ней имеется большее количество точек вторжения, что затрудняет ее защиту. Организации могут использовать практики сегментации сети разбить свою сеть на более мелкие изолированные подсети.
Каждый сегмент имеет свои собственные средства управления доступом и брандмауэры. Если киберпреступник хочет перемещаться по сети в поперечном направлении, он должен иметь возможность обойти этот контроль на каждом уровне. Благодаря сегментации влияние атаки будет ограничено.
4. Регулярные обновления и исправления
Внедрение регулярных обновлений и исправлений программного обеспечения помогает ИТ-командам устранять уязвимости безопасности по мере их выявления и устранения. Координировать эти обновления может быть сложно для организаций с большим количеством активов, но это важно для снижения рисков.
5. Обучение сотрудников
Большинство нарушений безопасности и несанкционированного доступа происходят из-за невольная ошибка сделанный сотрудником. Обучение сотрудников может помочь предотвратить эти инциденты, гарантируя, что сотрудники понимают, как выбирать надежные пароли, выявлять фишинговые электронные письма и избегать подозрительных веб-сайтов.
Разница между соответствием HIPAA и кибербезопасностью
Хотя соответствие требованиям HIPAA и кибербезопасность могут показаться двумя сторонами одной медали, направленными на защиту конфиденциальной информации, их истинная природа обнаруживает явные различия между ними:
Царство влияния
Соответствие HIPAA подразумевает тщательную защиту закрытой медицинской информации исключительно в сфере здравоохранения. Напротив, кибербезопасность создает более широкую сеть, охватывающую весь спектр ИТ, поскольку она укрепляет цифровой доступ во всех отраслях.
Хотя соблюдение HIPAA остается обязательным исключительно для тех организаций, информационных центров и деловых партнеров, которые взаимодействуют с PHI, меры кибербезопасности являются незаменимой опорой для любой современной организации.
Руководящие принципы
HIPAA — это федеральный закон с конкретными требованиями, которым должны следовать организации здравоохранения. Напротив, общие правила кибербезопасности на самом деле не являются юридическим требованием, которого должны придерживаться организации.
Есть несколько заметных исключений из этого правила, но нет необходимости описывать их здесь. Несмотря на то, что законов о кибербезопасности немного, в отрасли разработаны некоторые конкретные стандарты, рамки и лучшие практики, такие как Структура кибербезопасности НИСТ, ИСО/МЭК 27001или Критические меры безопасности в СНГ.
Полномочия и правоприменение
Департамент HHS США держит бразды правления в обеспечении соблюдения HIPAA, обладая полномочиями налагать штрафы и санкции против тех, кто не соблюдает его. Напротив, кибербезопасность работает в менее регулируемой среде, хотя организации все равно могут подпадать под сферу компетенции регулирующих органов, в зависимости от их отраслевой ниши (например, финансов) и географического положения.
Фокус
HIPAA ориентируется на конкретную отрасль и тип данных, уделяя особое внимание конфиденциальности и безопасности PHI. Между тем, кибербезопасность использует более широкий подход, направленный на защиту множества цифровых активов, включая сети, системы, приложения и конфиденциальную информацию. ИТ-специалисты усердно работают над защитой всей инфраструктуры организации от начала до конца.
Гибкость и адаптируемость
Несмотря на то, что HIPAA устанавливает строгие стандарты, он предлагает определенную степень гибкости в реализации. Одним из примеров такой гибкости является правило безопасности, которое включает в себя «адресные» спецификации реализации. Проще говоря, компания может оценить правильные профилактические меры для своих конкретных систем и операций.
Кибербезопасность обычно требует более индивидуального подхода, учитывающего уникальный профиль рисков организации, ландшафт угроз и технологическую инфраструктуру. Организациям необходимо составить целый список соображений: от того, какой тип данных они хранят, до того, как выглядит их инфраструктура. Оттуда они могут реализовать меры безопасности, которые лучше всего защитят их системы.
Синергия между соблюдением HIPAA и кибербезопасностью
В динамичном мире защиты данных соблюдение требований HIPAA и кибербезопасность объединяют усилия, чтобы создать непреодолимый барьер против потенциальных угроз. Хотя они могут быть нацелены на отдельные аспекты информационной безопасности, их совместные усилия способствуют выработке комплексного подхода к защите конфиденциальных данных.
Принимая принципы соответствия HIPAA наряду с надежными мерами кибербезопасности, организации могут укрепить свою защиту, гарантируя целостность, конфиденциальность и доступность ценной информации.