earth-grid-select-language-button

רגולציית HIPAA- איך עומדים בתקן אבטחת המידע הרפואי

רגולציית HIPAA

מחקיקה לחקיקה, מרגולציה לרגולציה. איך אפשר לדלג על רגולציית ה-HIPAA, החקיקה האמריקאית להגנת על מידע רפואי. 

מה זה HIPPA?

ראשי התיבות של Health Insurance Probability and Accountability Act, הרגולצייה היא חקיקה אמריקאית שמטרתה לקבוע סטנדרט אחיד לניהול ואחסון מידע רפואי דיגטלי כדי למנוע העברה והדלפה של מידע זה לגורמים לא מורשים. 

החקיקה מכירה בשימוש בטכנולוגיות חדשות כדי לשפר את המענה למטופלים ולהפוך אותו לאיכותי ויעיל יותר, והיא רוצה להסדיר את פרטיות המטופלים בקרב ארגונים שמשתמשים במערכות טכנולוגיות אלה. 

התקן שם במרכזו את זכוותו של כל אדם לפרטיות על המידע הרפואי שלו.

הרגולצייה עצמה גמישה יחסית, ומאפשרת לכל ארגון לקבוע את תהליך הטמעת התקן על פי התשתיות הטכנולוגיות, היקף הארגון, הסיכונים הייחודים, ועוד שיקולים שנלקחים בחשבון על ידי מי שמספק לארגון שירותי אבטחת מידע.

מי צריך לעמוד ב-HIPAA?

בקצרה, כל הגופים העוסקים בתחום הבריאות בשוק האמריקאי. בהרחבה:

  • חברות ישראליות המספקות שירותים לשוק האמריקאי הרפואי
  • ספקי שירות בריאות
  • ספקי שירות מערכות מידע רפואיות
  • שירותי גבייה הקשורים לתחום הבריאות

חשיבות תקן HIPAA

כפי שנאמר, כל חברה ישראלית המעוניינת לספק שירותים לארגונים רפואים בשוק האמריקאי מחוייבים לעמוד בתקן. עמידה בתקן מאפשר לארגונכם להתמודד במכרזים, להיכנס לשווקים בינלאומיים וחדשים ולהוכיח ללקוחות פוטנציאלים שאתם עומדים בסנדרט אבטחת מידע מחמיר. 

תהליך העמידה בתקן HIPAA

כפי שנאמר, הקולציה היא גמישה כך שתהליך העמידה בתקינה תשתנה מארגון לארגון, אולם יש נקודות מפתח שכל מי שמבקש לעמוד ב-HIPAA חייב לתעדף בתהליך

מיפוי המערכות הטכנולוגיות בהן נאגר המידע הרפואי

בדיקה יסודית של האבטחה במאגרי המידע האלה על ידי בחינת ניהול המשתמשים, הרשאות, הזדהות, הפקת דוחו"ת ועוד.

בדיקת תשתיות הקשורות למאגרי המידע הרפואי לרבות תקשורת, גיבוי ואחסון ואבטחת מידע. בדיקות חדירות תשתיתיות בוחנות את החוסן של מכשירי הארגון שלכם, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד).

הגדרת נהלי עבודה בתחום אבטחת המידע ברמה הארגונית- העלאת מודעות עובדים, תיעוד אירועים, ניהול הרשאות, בחינה וחקירה של אירועי סייבר, הגדרת בעלי תפקידים.

ניהול סיכונים- ביצוע סקר סיכונים הכולל מציאה והגדרת סיכוני הסייבר הפוטנציאלים ורמת הסיכון שלהם, ניתוח השלכות ניצול סיכונים וחולשות אלה על פי רמת הסיכון וטיפולם בהקדם על ידי תיעדוף החולשות הקריטיות וצמצום שטח ההתקפה הדיגיטלי.

ייעוץ מקצועי עלמידה ברגולציית HIPAA- תמונה דקורטיבית

תקן HIPAA בענן

התקן מבחין בין חברות שמאחסנות את הנתונים על גבי תשתית IT פנימית של הארגון, לבין ארגונים, לרוב גדולים, במעבדים את הנתונים בענן. הסיכונים להם חשופים הארגונים בתשתית הענן הציבורית גדולים משמעותית, וייחודים לסביבת הענן:

  • "חטיפת החשבון", כלומר גניבה של פרטי המשתמש לחשבון הענן על ידי פישינג, מתקפת XSS, ניחוש סיסמאות שיטתי ועוד.
  • פריצות והדלפות מידע מהענן, שהסבולות העיקריות ממנה הן עסקים קטנים שלא משתמשות באמצעי מיגון של מערכות אבטחה משוכללות כמו ארגונים גדולים.
  • API לא מאובטח, שמהווה פתח כניסה להאקרים המנצלים פגיעות זו כדי להוציא לפועל מתקפות כמו DDoS, שמציפה את השרת בעודף בקשות ומקריסה אותו.

הכוונה וייעוץ לעמידה בתקן HIPAA

רגולציית ה-HIPAA נתונה לגמישות רבה, מה שהופך אותה למבלבלת עבור לא מעט ארגונים המחויבים לעמוד בה. על מנת להקל על הארגון ולחסוך במשאבים מומלץ לשכור את שירותי של חברת אבטחת מידע, המספקת ייעוץ והכוונה מותאמים אישית לארגונים.

להמשך קריאה על תקני אבטחת מידע

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 02/10/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 18/9/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 02/10/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 18/9/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.