העידן החדש של שירותי בריאות דיגיטליים
במהלך השנה האחרונה חלה התקדמות משמעותית בתחום הבריאות הדיגיטלית והטכנולוגיה, כאשר חברות מפתחות ללא הרף פתרונות לתמיכה בחולים וברופאים כאחד. הדיגיטציה והאוטומציה המתמשכות של מערכות הבריאות טומנות בחובן פוטנציאל עצום לשיפור תוצאות הבריאות. עם זאת, כפי שראינו במתקפת הסייבר המתוקשרת האחרונה נגד Change Health, התפשטות השירותים הדיגיטליים בתחום הבריאות מציבה גם אתגר חסר תקדים בהגנה על נתונים רפואיים.
מנהלי IT בתחום הבריאות חייבים ליישם בקרות אבטחה חזקות ולקבל נראות לגבי התנהגות המשתמשים כדי לנטר ביעילות את שלמות הנתונים. דבר זה מחייב אימוץ גישה ממוקדת אדם וניטור תנועת נתונים כדי לוודא כוונה ולהבטיח הגנה על הנתונים. בעוד שחיבור משתמשים לנתונים רפואיים רגישים דרך ערוצים מאובטחים הוא קריטי, זהו רק היבט אחד של מסגרת האבטחה הרחבה יותר. בנוסף, ככל שאוטומציה של תהליכי בריאות משפרת את היעילות בקבלת ההחלטות, היא גם מציגה סיכונים לאובדן נתונים. אובדן כזה יכול להתבטא בצורות שונות, כולל גניבת מידע, דליפות נתונים, מניפולציה ושיתוף לא מורשה עם צדדים שלישיים. לכן, יישום אמצעים למניעת אובדן נתונים (DLP) בתחום הבריאות הוא חיוני.
מתקפות סייבר מתוקשרות על שירותי בריאות
בשנת 2023, דיווח משרד זכויות האזרח (OCR) של משרד הבריאות ושירותי האנוש (HHS) על 541 מקרים של פרצות נתונים שהשפיעו על למעלה מ-500 אנשים . חלק מהאירועים הללו השפיעו על מיליונים, או אפילו עשרות מיליוני אנשים, כמו למשל הפרצה שזכתה לפרסום נרחב ב-HCA Healthcare במהלך הקיץ.
בחג ההודיה של אותה שנה, שירותי הבריאות של ארדנט חוו מתקפת כופר, מה שגרם למערכת המונה 30 בתי חולים לסגור ולהשעות באופן יזום את כל גישת המשתמשים ליישומי ה-IT שלה. הדבר הוביל לעיכובים בהליכים שאינם דחופים.
נכון לפברואר 2024, כתב העת HIPAA תיעד 24 פרצות נתונים שכללו 10,000 רשומות רפואיות.
מתקפות הסייבר המשמעותיות ביותר שכוונו השנה נגד ספקי שירותי בריאות התמקדו ב-Change Healthcare, חברת בת של קבוצת UnitedHealth. בעקבות מתקפת ALPHV, החברה התמודדה עם משבר כופר שני. גורמי איום טענו כי ברשותם 4 טרה-בייט של נתוני החברה, כולל מידע אישי מזהה (PII) של אנשי צבא אמריקאים פעילים, רשומות רפואיות של מטופלים, פרטי תשלום ועוד.
על פי דו"ח של איגוד הבריאות האמריקאי, כמעט 60% מבתי החולים שנבדקו דיווחו על הפסדי הכנסות יומיים של לפחות מיליון דולר, כאשר 74% ציינו כי אירוע Change Healthcare השפיע ישירות על הטיפול בחולים במתקניהם.
רגולציה פדרלית ומדינתית גוברת
דרישות חדשות בתעשייה סביב אבטחת נתוני שירותי בריאות נמצאות באופק, כאשר המחוקקים פועלים להטיל אחריות על ארגונים להגנת מידע.
HIPAA
כלל הפרטיות של HIPAA, 45 CFR חלק 160 ותתי-חלקים A ו-E של חלק 164, מתארים שימושים ומותרים ונדרשים וגילוי של מידע בריאותי מוגן (PHI). PHI יכול להתקיים בכל צורה, כולל על נייר, סרט ובצורה אלקטרונית, והוא נחשב למידע בריאותי המאפשר זיהוי באופן אינדיבידואלי.
כלל האבטחה של HIPAA, 45 CFR חלק 160 וחלק 164, תת-חלקים A ו-C, מתווה את הדרישות עבור PHI אלקטרוני (ePHI). ישויות מכוסות ושותפיהן העסקיים מחויבות לשמור על סודיות, שלמות וזמינות של ePHI.
כלל ההודעה על הפרות HIPAA, 45 CFR §§ 164.400-414, מחייב גופים המכוסים ב-HIPAA ושותפיהם העסקיים לספק הודעה לאחר הפרה של מידע בריאותי מוגן שאינו מאובטח.
NIST
פרסום מיוחד 800 של NIST, NIST SP 800-66r2 , שפורסם בפברואר 2024, מספק הנחיות לישויות מפוקחות (כלומר, ישויות המכוסות ב-HIPAA ושותפים עסקיים) בנוגע להערכת וניהול סיכונים ל-ePHI, מזהה פעילויות אופייניות שישות מפוקחת עשויה לשקול ליישם כחלק מתוכנית אבטחת מידע, ומציג הנחיות שישויות מפוקחות יכולות להשתמש בהן, במלואן או בחלקן, כדי לשפר את מצב אבטחת הסייבר שלהן ולסייע בהשגת עמידה בכללי האבטחה של HIPAA.
HHS
בדצמבר 2023, פרסם משרד הבריאות ושירותי האנוש (HHS) מסמך קונספט המתאר את אסטרטגיית אבטחת הסייבר שלו עבור מגזר הבריאות. אסטרטגיה זו מדגישה מאמצי אכיפה מוגברים וקביעת סטנדרטים גבוהים יותר של נוהג בתעשייה. לאחר מכן, בינואר 2024, חשפה HHS את יעדי ביצועי אבטחת הסייבר (CPGs) הספציפיים למגזר הבריאות ובריאות הציבור. יעדים אלה מחולקים לקטגוריות "חיוניות" ו"משופרות", במטרה לטפל בפגיעויות אבטחת סייבר נפוצות בתעשיית הבריאות.
תוכנית HHS 405(d) מציעה הדרכה מעשית לארגוני שירותי בריאות המתמודדים עם המורכבות של יישום אמצעי אבטחת מידע חזקים. יוזמה זו מדגישה את השילוב האסטרטגי של מערכות למניעת אובדן נתונים (DLP) כמרכיב מרכזי במסגרת אבטחת נתונים מקיפה. התאמת פתרונות DLP לצרכים הייחודיים של זרימות עבודה בתחום הבריאות טומנת בחובה פוטנציאל להפחית משמעותית את התוצאות החיוביות השגויות ולשפר את היעילות הכוללת של יוזמות הגנת נתונים.
החוקים הפדרליים של ארה"ב
חוקים פדרליים כמו חוק Gramm-Leach-Bliley (GLBA), חוק זכויות החינוך והפרטיות של המשפחה (FERPA) וחוק דיווח אשראי הוגן (FCRA) מגנים על סודיות המידע האישי. בנוסף לתקנות פדרליות אלו, חוקי מדינה חדשים ממשיכים לצוץ, המחזקים עוד יותר את אמצעי הפרטיות וההגנה על המידע:
מינוף מניעת אובדן נתונים פרואקטיבית באבטחת נתונים בתחום הבריאות
כאשר נתוני המטופלים ובטיחותם הם בעלי חשיבות עליונה, כיצד יכולים ספקי שירותי בריאות להיות בטוחים שכלי האבטחה הקיימים שלהם יעילים כנגד איומים מתפתחים?
חלה עלייה ניכרת במתקפות המכוונות לספקי שירותי בריאות אזוריים קטנים יותר, דבר המדגיש את הצורך באמצעי אבטחת סייבר חזקים. ארגונים אלה בדרך כלל מאחסנים נתונים רגישים ביותר, מה שהופך אותם למטרות עיקריות עבור האקרים. יישום גישות אבטחה "רב-שכבתיות", המשלבות מניעת אובדן נתונים וזיהוי איומים פרואקטיבי, הוא קריטי למזעור נזקים פוטנציאליים.
OPSWAT Proactive DLP
DLP כולל אסטרטגיות שמטרתן למנוע חשיפה לא מכוון או לא מורשית של נתונים רגישים, כמו רישומי מטופלים או PHI. זה קריטי במיוחד בתחום הבריאות, שם פגיעה ב-PHI עלולה להשפיע רבות על מטופלים, מה שעלול להוביל לגניבת זהות או פגיעה בטיפול רפואי. קביעת אסטרטגיית DLP חזקה היא חיונית עבור ארגונים כדי לצמצם פרצות נתונים ולשמור על האבטחה והסודיות של נתוני הבריאות.
אֵיך OPSWAT Proactive DLP עבודות
OPSWAT Proactive DLP מזהה וחוסם נתונים רגישים, נתונים שאינם עומדים במדיניות ונתונים סודיים בקבצים ובאימיילים. מצויד במניעת פרצות נתונים פוטנציאליות, Proactive DLP משתמש במגוון מקיף של אמצעי אבטחה, כולל זיהוי תוכנות זדוניות המועברות בקבצים, שימוש בסיווג מסמכים המופעל על ידי בינה מלאכותית ומינוף זיהוי תווים אופטי (OCR) לעריכת מידע רגיש. הוא תומך בתאימות ל-HIPAA באמצעות מניעת אובדן נתונים חזקה, בקרות גישה ויכולות הפחתת סיכונים.
דוגמאות לקבצי DICOM שעברו עריכה
OPSWAT MetaDefender פּלַטפוֹרמָה
פלטפורמת OPSWAT MetaDefender מציעה מניעת איומים מקיפה המותאמת לארגוני שירותי בריאות לטיפול בנתוני בריאות בצורה מאובטחת וחסכונית. MetaDefender הפלטפורמה מפשטת תהליכי תפעול אבטחה, ניתנת להרחבה בקלות ומספקת טכנולוגיות מובילות בשוק לאסטרטגיית הגנה מעמיקה, כגון:
- Deep CDR מבטל קבצים שעלולים להיות זדוניים ויוצר מחדש תוכן בטוח לשימוש.
- Multiscanning מזהה תוכנות זדוניות ידועות ולא ידועות עם יותר מ-30 מנועי אנטי-וירוס.
- Sandbox Adaptive מזהה תוכנות זדוניות באמצעות ניתוח דינמי וסטטי.
- מדינת המוצא מגבילה את הגישה לנתונים על סמך מיקום וספק.
גלה כיצד OPSWAT MetaDefender פלטפורמה יכולה לסייע לגופי בריאות באתגרי אבטחת המידע שלהם במסמך זה.
מיפוי עתיד אבטחת שירותי הבריאות הדיגיטליים
מגזר הבריאות ניצב בפני איום מתמשך מצד מתקפות סייבר מתוחכמות יותר ויותר, כולל מתקפות המונעות על ידי בינה מלאכותית, המציבות אתגר אדיר העולה על אמצעי אבטחה קונבנציונליים. תוכניות פישינג מותאמות אישית, ניצול אוטומטי של פגיעויות במערכות וגורמי סיכון הולכים וגדלים אחרים הנגרמים כתוצאה מדיגיטציה ואוטומציה מוגברות מהווים סיכון חמור לשלמות נתוני המטופלים ולהמשכיות התפעולית.
כדי להילחם ביעילות באיומים המתפתחים הללו, צוותי IT בתחום הבריאות חייבים ליישם פרוטוקולי הגנת נתונים חזקים כדי להגן על מידע רפואי רגיש מפני גורמי איום. גישה פרואקטיבית זו מבטיחה שארגוני שירותי הבריאות יהיו מצוידים היטב לעמוד בתקני תאימות ולהמשיך לספק טיפול קריטי למטופליהם.
Secure הנתונים הרגישים של הארגון שלך היום.
