הגנה על נתוני שירותי בריאות דיגיטליים מפני מתקפות סייבר

בשנת 2023, דיווח משרד זכויות האזרח (OCR) של משרד הבריאות ושירותי האנוש (HHS) על 541 מקרים של פרצות נתונים שהשפיעו על למעלה מ-500 אנשים . חלק מהאירועים הללו השפיעו על מיליונים, או אפילו עשרות מיליוני אנשים, כמו למשל הפרצה שזכתה לפרסום נרחב ב-HCA Healthcare במהלך הקיץ. 

בחג ההודיה של אותה שנה, שירותי הבריאות של ארדנט חוו מתקפת כופר, מה שגרם למערכת המונה 30 בתי חולים לסגור ולהשעות באופן יזום את כל גישת המשתמשים ליישומי ה-IT שלה. הדבר הוביל לעיכובים בהליכים שאינם דחופים. 

נכון לפברואר 2024, כתב העת HIPAA תיעד 24 פרצות נתונים שכללו 10,000 רשומות רפואיות. 

דרישות חדשות בתעשייה סביב אבטחת נתוני שירותי בריאות נמצאות באופק, כאשר המחוקקים פועלים להטיל אחריות על ארגונים להגנת מידע. 

כלל הפרטיות של HIPAA, 45 CFR חלק 160 ותתי-חלקים A ו-E של חלק 164, מתארים שימושים ומותרים ונדרשים וגילוי של מידע בריאותי מוגן (PHI). PHI יכול להתקיים בכל צורה, כולל על נייר, סרט ובצורה אלקטרונית, והוא נחשב למידע בריאותי המאפשר זיהוי באופן אינדיבידואלי. 

כלל האבטחה של HIPAA, 45 CFR חלק 160 וחלק 164, תת-חלקים A ו-C, מתווה את הדרישות עבור PHI אלקטרוני (ePHI). ישויות מכוסות ושותפיהן העסקיים מחויבות לשמור על סודיות, שלמות וזמינות של ePHI. 

כלל ההודעה על הפרות HIPAA, 45 CFR §§ 164.400-414, מחייב גופים המכוסים ב-HIPAA ושותפיהם העסקיים לספק הודעה לאחר הפרה של מידע בריאותי מוגן שאינו מאובטח. 

פרסום מיוחד 800 של NIST, NIST SP 800-66r2 , שפורסם בפברואר 2024, מספק הנחיות לישויות מפוקחות (כלומר, ישויות המכוסות ב-HIPAA ושותפים עסקיים) בנוגע להערכת וניהול סיכונים ל-ePHI, מזהה פעילויות אופייניות שישות מפוקחת עשויה לשקול ליישם כחלק מתוכנית אבטחת מידע, ומציג הנחיות שישויות מפוקחות יכולות להשתמש בהן, במלואן או בחלקן, כדי לשפר את מצב אבטחת הסייבר שלהן ולסייע בהשגת עמידה בכללי האבטחה של HIPAA. 

בדצמבר 2023, פרסם משרד הבריאות ושירותי האנוש (HHS) מסמך קונספט המתאר את אסטרטגיית אבטחת הסייבר שלו עבור מגזר הבריאות. אסטרטגיה זו מדגישה מאמצי אכיפה מוגברים וקביעת סטנדרטים גבוהים יותר של נוהג בתעשייה. לאחר מכן, בינואר 2024, חשפה HHS את יעדי ביצועי אבטחת הסייבר (CPGs) הספציפיים למגזר הבריאות ובריאות הציבור. יעדים אלה מחולקים לקטגוריות "חיוניות" ו"משופרות", במטרה לטפל בפגיעויות אבטחת סייבר נפוצות בתעשיית הבריאות. 

תוכנית HHS 405(d) מציעה הדרכה מעשית לארגוני שירותי בריאות המתמודדים עם המורכבות של יישום אמצעי אבטחת מידע חזקים. יוזמה זו מדגישה את השילוב האסטרטגי של מערכות למניעת אובדן נתונים (DLP) כמרכיב מרכזי במסגרת אבטחת נתונים מקיפה. התאמת פתרונות DLP לצרכים הייחודיים של זרימות עבודה בתחום הבריאות טומנת בחובה פוטנציאל להפחית משמעותית את התוצאות החיוביות השגויות ולשפר את היעילות הכוללת של יוזמות הגנת נתונים.  

חוקים פדרליים כמו חוק Gramm-Leach-Bliley (GLBA), חוק זכויות החינוך והפרטיות של המשפחה (FERPA) וחוק דיווח אשראי הוגן (FCRA) מגנים על סודיות המידע האישי. בנוסף לתקנות פדרליות אלו, חוקי מדינה חדשים ממשיכים לצוץ, המחזקים עוד יותר את אמצעי הפרטיות וההגנה על המידע: 

כאשר נתוני המטופלים ובטיחותם הם בעלי חשיבות עליונה, כיצד יכולים ספקי שירותי בריאות להיות בטוחים שכלי האבטחה הקיימים שלהם יעילים כנגד איומים מתפתחים? 

חלה עלייה ניכרת במתקפות המכוונות לספקי שירותי בריאות אזוריים קטנים יותר, דבר המדגיש את הצורך באמצעי אבטחת סייבר חזקים. ארגונים אלה בדרך כלל מאחסנים נתונים רגישים ביותר, מה שהופך אותם למטרות עיקריות עבור האקרים. יישום גישות אבטחה "רב-שכבתיות", המשלבות מניעת אובדן נתונים וזיהוי איומים פרואקטיבי, הוא קריטי למזעור נזקים פוטנציאליים. 

DLP כולל אסטרטגיות שמטרתן למנוע חשיפה לא מכוון או לא מורשית של נתונים רגישים, כמו רישומי מטופלים או PHI. זה קריטי במיוחד בתחום הבריאות, שם פגיעה ב-PHI עלולה להשפיע רבות על מטופלים, מה שעלול להוביל לגניבת זהות או פגיעה בטיפול רפואי. קביעת אסטרטגיית DLP חזקה היא חיונית עבור ארגונים כדי לצמצם פרצות נתונים ולשמור על האבטחה והסודיות של נתוני הבריאות. 

OPSWAT Proactive DLP מזהה וחוסם נתונים רגישים, נתונים שאינם עומדים במדיניות ונתונים סודיים בקבצים ובאימיילים. מצויד במניעת פרצות נתונים פוטנציאליות, Proactive DLP משתמש במגוון מקיף של אמצעי אבטחה, כולל זיהוי תוכנות זדוניות המועברות בקבצים, שימוש בסיווג מסמכים המופעל על ידי בינה מלאכותית ומינוף זיהוי תווים אופטי (OCR) לעריכת מידע רגיש. הוא תומך בתאימות ל-HIPAA באמצעות מניעת אובדן נתונים חזקה, בקרות גישה ויכולות הפחתת סיכונים.  

פלטפורמת OPSWAT MetaDefender מציעה מניעת איומים מקיפה המותאמת לארגוני שירותי בריאות לטיפול בנתוני בריאות בצורה מאובטחת וחסכונית. MetaDefender הפלטפורמה מפשטת תהליכי תפעול אבטחה, ניתנת להרחבה בקלות ומספקת טכנולוגיות מובילות בשוק לאסטרטגיית הגנה מעמיקה, כגון: 

• טכנולוגיית Deep CDR™ מנטרלת קבצים שעלולים להיות זדוניים ומייצרת מחדש תוכן בטוח לשימוש.
• Multiscanning מזהה תוכנות זדוניות ידועות ולא ידועות עם יותר מ-30 מנועי אנטי-וירוס.
• Sandbox Adaptive מזהה תוכנות זדוניות באמצעות ניתוח דינמי וסטטי.
• מדינת המוצא מגבילה את הגישה לנתונים על סמך מיקום וספק.