earth-grid-select-language-button

רגולציית HIPAA- איך עומדים בתקן אבטחת המידע הרפואי

רגולציית HIPAA

HIPAA- רגולציה להגנה על מידע רפואי

מחקיקה לחקיקה, מרגולציה לרגולציה. איך אפשר לדלג על רגולציית ה-HIPAA, החקיקה האמריקאית להגנת על מידע רפואי. 

מה זה HIPPA?

HIPAA הם ראשי התיבות של Health Insurance Probability and Accountability Act. הרגולצייה היא חקיקה אמריקאית שמטרתה לקבוע סטנדרט אחיד לניהול ואחסון מידע רפואי דיגטלי, מה שמוגדר כ- e-PHI, כדי למנוע העברה והדלפה של מידע זה לגורמים לא מורשים. 

החקיקה מכירה בשימוש בטכנולוגיות חדשות כדי לשפר את המענה למטופלים ולהפוך אותו לאיכותי ויעיל יותר, והיא רוצה להסדיר את פרטיות המטופלים בקרב ארגונים שמשתמשים במערכות טכנולוגיות אלה. 

התקן שם במרכזו את זכותו של כל אדם לפרטיות על המידע הרפואי שלו.

הרגולצייה עצמה גמישה יחסית, ומאפשרת לכל ארגון לקבוע את תהליך הטמעת התקן על פי התשתיות הטכנולוגיות, היקף הארגון, הסיכונים הייחודים, ועוד שיקולים שנלקחים בחשבון על ידי מי שמספק לארגון שירותי אבטחת מידע.

על מי חלה רגולציית HIPAA?

בקצרה, כל הגופים העוסקים בתחום הבריאות בשוק האמריקאי. בהרחבה:

  • חברות ישראליות המספקות שירותים לשוק האמריקאי הרפואי
  • ספקי שירות בריאות
  • ספקי שירות מערכות מידע רפואיות
  • שירותי גבייה הקשורים לתחום הבריאות

חשיבות תקן HIPAA

כפי שנאמר, כל חברה ישראלית המעוניינת לספק שירותים לארגונים רפואים בשוק האמריקאי מחוייבים לעמוד בתקן. עמידה בתקן מאפשר לארגונכם להתמודד במכרזים, להיכנס לשווקים בינלאומיים וחדשים ולהוכיח ללקוחות פוטנציאלים שאתם עומדים בסנדרט אבטחת מידע מחמיר. 

מספר פריצות אבטחת מידע בארצות הברית בין 2021-2022 בחלוקה לחודשים, ע"ל פי hipaa journal

איך עומדים בתקן HIPAA?

כפי שנאמר, הרגולציה היא גמישה כך שתהליך העמידה בתקינה תשתנה מארגון לארגון, אולם יש נקודות מפתח שכל מי שמבקש לעמוד ב-HIPAA חייב לתעדף בתהליך

מיפוי המערכות הטכנולוגיות בהן נאגר המידע הרפואי

בדיקה יסודית של האבטחה במאגרי המידע האלה על ידי בחינת ניהול המשתמשים, הרשאות, הזדהות, הפקת דוחו"ת ועוד.

בדיקת תשתיות הקשורות למאגרי המידע הרפואי לרבות תקשורת, גיבוי ואחסון ואבטחת מידע. בדיקות חדירות תשתיתיות בוחנות את החוסן של מכשירי הארגון שלכם, כאשר המיקוד הוא בציוד המחובר לרשת הפנימית שאינו בעל גישה מבחוץ (כדוגמת ראוטר, מדפסות, מחשבי הארגון ועוד).

הגדרת נהלי עבודה בתחום אבטחת המידע ברמה הארגונית- העלאת מודעות עובדים, תיעוד אירועים, ניהול הרשאות, בחינה וחקירה של אירועי סייבר, הגדרת בעלי תפקידים.

ניהול סיכונים- ביצוע סקר סיכונים הכולל מציאה והגדרת סיכוני הסייבר הפוטנציאלים ורמת הסיכון שלהם, ניתוח השלכות ניצול סיכונים וחולשות אלה על פי רמת הסיכון וטיפולם בהקדם על ידי תיעדוף החולשות הקריטיות וצמצום שטח ההתקפה הדיגיטלי.

סיבות לפריצות אבטחת מידע ביוני 2022 בתעשיית הבריאות, ע"פ hipaa journal

תקן HIPAA בענן

התקן מבחין בין חברות שמאחסנות את הנתונים על גבי תשתית IT פנימית של הארגון, לבין ארגונים, לרוב גדולים, במעבדים את הנתונים בענן. הסיכונים להם חשופים הארגונים בתשתית הענן הציבורית גדולים משמעותית, וייחודים לסביבת הענן:

  • "חטיפת החשבון", כלומר גניבה של פרטי המשתמש לחשבון הענן על ידי פישינג, מתקפת XSS, ניחוש סיסמאות שיטתי ועוד.
  • פריצות והדלפות מידע מהענן, שהסבולות העיקריות ממנה הן עסקים קטנים שלא משתמשות באמצעי מיגון של מערכות אבטחה משוכללות כמו ארגונים גדולים.
  • API לא מאובטח, שמהווה פתח כניסה להאקרים המנצלים פגיעות זו כדי להוציא לפועל מתקפות כמו DDoS, שמציפה את השרת בעודף בקשות ומקריסה אותו.

ליווי לעמידה בתקן HIPAA

רגולציית ה-HIPAA נתונה לגמישות רבה, מה שהופך אותה למבלבלת עבור לא מעט ארגונים המחויבים לעמוד בה. על מנת להקל על הארגון ולחסוך במשאבים מומלץ לשכור את שירותי של חברת אבטחת מידע, המספקת ייעוץ והכוונה מותאמים אישית לארגונים.

להמשך קריאה על תקני אבטחת מידע

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

תפקיד הבינה המלאכותית בעולם אבטחת המידע

מה אם היו אומרים לכם שבינה מלאכותית (AI) יכולה להיות המפתח לשמירה על בטיחות כולנו בעולם הדיגיטלי? זה נכון, בינה מלאכותית כאן כדי להיות שומר הראש הוירטואלי שלנו, והיא מוכנה לבעוט בקצת פושע סייבר.

חדשות סייבר

חדשות סייבר 15/01/2023

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

תפקיד הבינה המלאכותית בעולם אבטחת המידע

מה אם היו אומרים לכם שבינה מלאכותית (AI) יכולה להיות המפתח לשמירה על בטיחות כולנו בעולם הדיגיטלי? זה נכון, בינה מלאכותית כאן כדי להיות שומר הראש הוירטואלי שלנו, והיא מוכנה לבעוט בקצת פושע סייבר.

חדשות סייבר

חדשות סייבר 15/01/2023

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.