HIPAA- רגולציה להגנה על מידע רפואי
מחקיקה לחקיקה, מרגולציה לרגולציה. איך אפשר לדלג על רגולציית ה-HIPAA, החקיקה האמריקאית להגנת על מידע רפואי.
מה זה HIPPA?
HIPAA הם ראשי התיבות של Health Insurance Probability and Accountability Act. הרגולצייה היא חקיקה אמריקאית שמטרתה לקבוע סטנדרט אחיד לניהול ואחסון מידע רפואי דיגטלי, מה שמוגדר כ- e-PHI, כדי למנוע העברה והדלפה של מידע זה לגורמים לא מורשים.
החקיקה מכירה בשימוש בטכנולוגיות חדשות כדי לשפר את המענה למטופלים ולהפוך אותו לאיכותי ויעיל יותר, והיא רוצה להסדיר את פרטיות המטופלים בקרב ארגונים שמשתמשים במערכות טכנולוגיות אלה.
התקן שם במרכזו את זכותו של כל אדם לפרטיות על המידע הרפואי שלו.
הרגולצייה עצמה גמישה יחסית, ומאפשרת לכל ארגון לקבוע את תהליך הטמעת התקן על פי התשתיות הטכנולוגיות, היקף הארגון, הסיכונים הייחודים, ועוד שיקולים שנלקחים בחשבון על ידי מי שמספק לארגון שירותי אבטחת מידע.
על מי חלה רגולציית HIPAA?
בקצרה, כל הגופים העוסקים בתחום הבריאות בשוק האמריקאי. בהרחבה:
- חברות ישראליות המספקות שירותים לשוק האמריקאי הרפואי
- ספקי שירות בריאות
- ספקי שירות מערכות מידע רפואיות
- שירותי גבייה הקשורים לתחום הבריאות
חשיבות תקן HIPAA
כפי שנאמר, כל חברה ישראלית המעוניינת לספק שירותים לארגונים רפואים בשוק האמריקאי מחוייבים לעמוד בתקן. עמידה בתקן מאפשר לארגונכם להתמודד במכרזים, להיכנס לשווקים בינלאומיים וחדשים ולהוכיח ללקוחות פוטנציאלים שאתם עומדים בסנדרט אבטחת מידע מחמיר.
איך עומדים בתקן HIPAA?
כפי שנאמר, הרגולציה היא גמישה כך שתהליך העמידה בתקינה תשתנה מארגון לארגון, אולם יש נקודות מפתח שכל מי שמבקש לעמוד ב-HIPAA חייב לתעדף בתהליך
מיפוי המערכות הטכנולוגיות בהן נאגר המידע הרפואי
בדיקה יסודית של האבטחה במאגרי המידע האלה על ידי בחינת ניהול המשתמשים, הרשאות, הזדהות, הפקת דוחו"ת ועוד.
בדיקת תשתיות הקשורות למאגרי המידע הרפואי לרבות תקשורת, גיבוי ואחסון ואבטחת מידע. בדיקות חדירות תשתיתיות בוחנות את החוסן של מכשירי הארגון שלכם, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד).
הגדרת נהלי עבודה בתחום אבטחת המידע ברמה הארגונית- העלאת מודעות עובדים, תיעוד אירועים, ניהול הרשאות, בחינה וחקירה של אירועי סייבר, הגדרת בעלי תפקידים.
ניהול סיכונים- ביצוע סקר סיכונים הכולל מציאה והגדרת סיכוני הסייבר הפוטנציאלים ורמת הסיכון שלהם, ניתוח השלכות ניצול סיכונים וחולשות אלה על פי רמת הסיכון וטיפולם בהקדם על ידי תיעדוף החולשות הקריטיות וצמצום שטח ההתקפה הדיגיטלי.
תקן HIPAA בענן
התקן מבחין בין חברות שמאחסנות את הנתונים על גבי תשתית IT פנימית של הארגון, לבין ארגונים, לרוב גדולים, במעבדים את הנתונים בענן. הסיכונים להם חשופים הארגונים בתשתית הענן הציבורית גדולים משמעותית, וייחודים לסביבת הענן:
- "חטיפת החשבון", כלומר גניבה של פרטי המשתמש לחשבון הענן על ידי פישינג, מתקפת XSS, ניחוש סיסמאות שיטתי ועוד.
- פריצות והדלפות מידע מהענן, שהסבולות העיקריות ממנה הן עסקים קטנים שלא משתמשות באמצעי מיגון של מערכות אבטחה משוכללות כמו ארגונים גדולים.
- API לא מאובטח, שמהווה פתח כניסה להאקרים המנצלים פגיעות זו כדי להוציא לפועל מתקפות כמו DDoS, שמציפה את השרת בעודף בקשות ומקריסה אותו.
ליווי לעמידה בתקן HIPAA
רגולציית ה-HIPAA נתונה לגמישות רבה, מה שהופך אותה למבלבלת עבור לא מעט ארגונים המחויבים לעמוד בה. על מנת להקל על הארגון ולחסוך במשאבים מומלץ לשכור את שירותי של חברת אבטחת מידע, המספקת ייעוץ והכוונה מותאמים אישית לארגונים.
