Закон США об ответственности и переносе данных о страховании здоровья граждан (HIPAA), принятый в 1996 году, направлен на защиту конфиденциальности и безопасности чувствительной медицинской информации.
Содержание
В здравоохранении комплаенс, возможно, гораздо важнее, чем в любых других отраслях. Сбор и обработка защищенной информации о здоровье, включая персональные и медицинские данные, позволяют предлагать пациентам оптимальные планы лечения. Нарушение требований к обработке защищенной информации о здоровье может иметь серьезные последствия: не только ущерб для репутации, финансовые убытки и юридическая ответственность, но и вред здоровью.
Правило безопасности HIPPA
Правило безопасности HIPAA защищает часть информации, на которую распространяется правило конфиденциальности HIPAA. По сути, оно описывает, что должны делать организации для защиты электронной защищенной информации о здоровье.
Правило безопасности не предписывает использовать определенные меры безопасности. Главное, чтобы они были эффективными. Эти меры делятся на три обязательные категории:
Административные: требуется анализ рисков, чтобы определить, какие меры безопасности необходимы для вашей организации. Анализ должен выполняться непрерывно.
Физические: охрана помещений, в которых может храниться электронная защищенная информация о здоровье. Необходимо реализовать контроль доступа на объект, а также обеспечить безопасность рабочих станций и устройств.
Технические: межсетевые экраны, шифрование и резервное копирование данных, а также контроль доступа, контроль аудита, контроль целостности и безопасность передачи.
Недавние случаи утечки данных в сфере здравоохранения
Согласно отчету о киберугрозах SonicWall в 2022 году, за 2021 год в сфере здравоохранения количество атак с применением вредоносных программ увеличилось на 121%. Кроме того, в здравоохранении заметнее всего выросло число атак на устройства Интернета вещей — на 71% по сравнению с прошлым годом.
Давайте рассмотрим несколько случаев успешного применения вредоносных программ, чтобы понять важность соблюдения HIPAA и применения мер безопасности.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
В мае 2021 года более 205 000 пациентов RMCHCS получили уведомления о попытках вымогательства, которые нарушили работу системы электронных медицинских карт. RMCHCS стала жертвой группировки Conti, специализирующейся на программах-вымогателях, которая активно атаковала медицинские учреждения на протяжении 2020 года.
Позже было установлено, что хакеры Conti в течение двух недель, с 21 января по 5 февраля, похищали данные, включая номера социального страхования, паспорта и защищенную информацию о здоровье пациентов. Компания RMCHCS сообщила, что немедленно уведомила правоохранительные органы, но уведомления пациентам стала рассылать только в конце апреля, что стало поводом для беспокойства.
Поскольку это была атака программ-вымогателей, у компании явно отсутствовали надлежащие технические меры безопасности и регулярные оценки рисков. Несмотря на то, что RMCHCS уведомила пациентов об утечке, компания сделала это слишком поздно, усугубив риски для личной безопасности и целостности электронной защищенной информации о здоровье. Пациентов следовало сразу уведомить об утечке, чтобы они могли закрыть или изменить свои карты, обновить учетные данные и банковскую информацию или получить новый паспорт.
OneTouchpoint
28 апреля 2022 года компания Hartland из штата Висконсин стала жертвой программы-вымогателя. От атаки пострадало более 2,6 миллионов человек из как минимум 34 организаций.
Было обнаружено, что серверы OneTouchPoint были скомпрометированы на день раньше, и чувствительные данные подвергались риску. Спустя шесть недель OneTouchPoint сообщила, что были украдены файлы с данными о клиентах и чувствительной информацией о текущих и бывших сотрудниках, включая имена и адреса клиентов и сотрудников, страховые идентификаторы, а также диагнозы и выписанные пациентам лекарства. В результате OneTouchPoint за свой счет предложила клиентам услуги кредитного мониторинга и защиты от кражи личности.
Против OneTouchPoint был подан как минимум один групповой иск в связи с утечкой данных.
Как обеспечить соответствие требованиям HIPAA
Чтобы помочь организациям соблюдать требования HIPAA в сфере кибербезопасности, Управление США по гражданским правам согласовало HIPAA с Программой Национального институтом стандартов и технологий (NIST). Если вы уже соответствуете требованиям NIST, включающим общепризнанные стандарты отрасли, вам будет проще обеспечить соблюдение требований HIPAA.
Чтобы поддерживать соблюдение высоких стандартов и осведомленность, многие компании проводят обучение по соблюдению HIPAA и выдают сертификаты. Многие консалтинговые организации и само Управление США по гражданским правам предлагают курсы для широкого круга организаций, обязанных соблюдать HIPAA.
Соблюдение требований HIPPA — рекомендации
Следующие рекомендации помогут вам обеспечить комплаенс:
Изучите правила HIPAA
Правило конфиденциальности HIPAA определяет, как можно использовать и раскрывать защищенную информацию о здоровье в секторе здравоохранения. Изучите это правило, чтобы понять права пациентов, включая право на доступ к медицинским записям и право на внесение исправлений.
Правило безопасности HIPAA предоставляет технические, физические и административные меры безопасности, необходимые для защиты защищенной информации о здоровье клиентов.
Правило уведомления о нарушении HIPAA требует уведомлять пациентов, СМИ и Министерство здравоохранения и социального обеспечения США (HHS) в случае утечки данных.
Оценивайте риски
В том числе выявляйте любую защищенную информацию о здоровье, которую ваша организация собирает, обрабатывает и хранит. Оценка рисков должна выявлять уязвимости, которые могут подвергнуть риску защищенную информацию о здоровье. К ним относятся известные внутренние или внешние киберугрозы, кража или потеря физических устройств, вероятность атаки на организацию на основе вашего индекса киберрисков.
Внедрение политик и процедур
На основании результатов оценки рисков разработайте и внедрите политики и процедуры для каждого выявленного риска. Сюда входят такие области, как контроль доступа, резервное копирование и восстановление данных, реагирование на инциденты и обучение сотрудников по вопросам безопасности. Регулярно пересматривайте и обновляйте эти политики и процедуры, чтобы поддерживать их актуальность.
Обучайте сотрудников
Следите за тем, чтобы ваши сотрудники были в курсе политик и процедур вашей организации. Все сотрудники, работающие с защищенной информацией о здоровье, должны знать, как ее защищать, и понимать последствия нарушения требований. Регулярное обучение по вопросам безопасности повышает осведомленность сотрудников о новейших угрозах и передовых методах защиты защищенной информации о здоровье.
Поддерживайте мониторинг и аудит
Регулярно проверяйте меры безопасности в организации, проходите тестирование на проникновение и проводите оценку уязвимостей. Это позволит вам и вашим командам быть в курсе новейших рисков или угроз для защищенной информации о здоровье и методах ее защиты. Регулярный аудит помогает соблюдать требования и поддерживать готовность к инцидентам.
Скотт Сарджант, вице-президент по управлению продуктами, является опытным техническим руководителем с более чем 25-летним опытом в поставке корпоративных решений в области кибербезопасности и ИТ.