การดูแลสุขภาพเป็นหนึ่งในภาคส่วนที่ตกเป็นเป้าหมายของผู้ไม่ประสงค์ดีมากที่สุด โดยมีจำนวน การละเมิดเพิ่มขึ้นอย่างต่อเนื่องทุกปีแม้จะมีความเสี่ยงด้านความปลอดภัยทั่วไปที่ส่งผลต่อสภาพแวดล้อมด้านการดูแลสุขภาพและการละเมิดข้อมูลที่เป็นข่าวโด่งดังมากมาย แต่ภาคการดูแลสุขภาพยังคงขาดแคลนทรัพยากรในการป้องกันการโจมตีทางไซเบอร์ที่เพิ่มมากขึ้น
ต้นเดือนมกราคม พ.ศ.2025HIPAA เสนอให้ปรับปรุงกรอบกฎความปลอดภัย HIPAA เพื่อให้มีระเบียบข้อบังคับด้านความปลอดภัยที่ละเอียดขึ้น การเปลี่ยนแปลงนี้มีความจำเป็นอย่างยิ่งสำหรับอุตสาหกรรมนี้ เนื่องจากจะบังคับให้ทุกองค์กรด้านการดูแลสุขภาพต้องจัดการกับความเสี่ยงด้านความปลอดภัยโดยตรง แต่ยอมรับตามตรงว่า แม้ว่าการเปลี่ยนแปลงที่เสนอใน HIPAA จะเป็นก้าวที่ถูกต้อง แต่ก็ยังห่างไกลจากแนวทางแก้ไขที่สมบูรณ์ และแนวทางใหม่หลายประการจะท้าทายให้องค์กรที่มีทรัพยากรไม่เพียงพอปฏิบัติตาม
เหตุใดกรอบงาน HIPAA จึงเพิ่มกฎระเบียบใหม่เข้ามา
กฎความปลอดภัย HIPAA ได้มีการแก้ไขครั้งใหญ่หลายครั้งนับตั้งแต่เริ่มก่อตั้ง โดยครั้งล่าสุดเกิดขึ้นเมื่อต้นทศวรรษปี 2000 ตั้งแต่นั้นมา มีการนำการปรับปรุงเล็กน้อยมาใช้กับกรอบงานนี้เท่านั้น ซึ่งไม่มีการปรับปรุงใด ๆ เลยที่จะช่วยเปลี่ยนแปลงความปลอดภัยได้ นอกจากนี้ แนวทาง HIPAA ด้านความปลอดภัยในปัจจุบันยังถือเป็นคำแนะนำมากกว่าข้อกำหนดในกรอบงานนี้
โดยสรุปแล้ว ถึงเวลาที่จะต้องปรับปรุงหลักเกณฑ์ด้านความปลอดภัย โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับ ความปลอดภัยของข้อมูลประจำตัวสิ่งที่น่าสังเกตก็คือ การอัปเดตไม่ได้เกิดขึ้นโดยไม่ได้คาดคิดมาก่อน แต่เป็นการตอบสนองโดยตรงต่อการโจมตีที่เพิ่มขึ้นในอุตสาหกรรมการดูแลสุขภาพในช่วงไม่กี่ปีที่ผ่านมา ปัจจัยร่วมของการโจมตีในภาคส่วนนี้คือการใช้ข้อมูลรับรองที่ถูกบุกรุกและข้อมูลที่ไม่ถูกตรวจพบ การเคลื่อนไหวด้านข้าง.
จากการละเมิดผู้ให้บริการด้านการดูแลสุขภาพอย่างต่อเนื่องและประสบความสำเร็จนี้ หน่วยงานกำกับดูแล HIPAA จึงได้ออกมาประกาศข้อความที่ชัดเจนและชัดเจน: พอคือพอ.
แนวทางใหม่ที่เสนอนี้มีจุดมุ่งหมายเพื่อแก้ไขปัญหาการขาดการควบคุมและท่าทีด้านความปลอดภัยของภาคส่วน นอกจากนี้ยังเป็นการตรวจสอบความเป็นจริงอย่างจริงจังสำหรับอุตสาหกรรมที่กำลังดิ้นรนเพื่อให้ทันกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย
ข้อเสนอการเปลี่ยนแปลงที่สำคัญสำหรับกรอบงาน HIPAA
เมื่อวันที่ 6 มกราคม 2025 กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) เปิดเผยข้อเสนอที่ครอบคลุมสำหรับการอัปเดตกรอบงาน HIPAA ซึ่งถือเป็นก้าวสำคัญในการเพิ่มความปลอดภัยและความเป็นส่วนตัวของข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI)
ตามที่ ประกาศของ OCRกฎที่เสนอนี้มีจุดมุ่งหมายเพื่อ "ปรับปรุงความปลอดภัยทางไซเบอร์และปกป้องระบบการดูแลสุขภาพของสหรัฐฯ จากการโจมตีทางไซเบอร์ที่เพิ่มมากขึ้น" และ "ปรับกฎความปลอดภัยให้สอดคล้องกับแนวปฏิบัติที่ดีที่สุดในปัจจุบันในด้านความปลอดภัยทางไซเบอร์มากขึ้น"
มาดูแนวทางที่เสนอซึ่งกล่าวถึงโดยเฉพาะกันอย่างใกล้ชิด ความปลอดภัยของข้อมูลประจำตัว ในกรอบกฎความปลอดภัย HIPAA ที่อัปเดตแล้ว
1. ข้อมูลประจำตัวที่ถูกบุกรุก และ MFA
สำหรับจุดเข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) ทั้งหมด องค์กรต่างๆ จะต้องดำเนินการตาม MFA ได้ทุกที่ การป้องกัน มาตรการนี้มีวัตถุประสงค์เพื่อบรรเทาความเสี่ยงที่เกี่ยวข้องกับ ข้อมูลประจำตัวที่ถูกบุกรุก, ลดการเข้าถึงโดยไม่ได้รับอนุญาต
2. การตอบสนองต่อเหตุการณ์
ภายหลังจากมีการปรับปรุงตามข้อเสนอแล้ว นโยบาย ขั้นตอน แผน และการวิเคราะห์ทั้งหมดที่เกี่ยวข้องกับการตอบสนองต่อเหตุการณ์จะต้องได้รับการบันทึกเป็นลายลักษณ์อักษร หน่วยงานที่เกี่ยวข้องจะต้องพัฒนาแผนการตอบสนองต่อเหตุการณ์ที่ครอบคลุม ซึ่งรวมถึงขั้นตอนในการรายงานเหตุการณ์และการกู้คืนระบบภายใน 72 ชั่วโมงหลังจากเกิดการละเมิด นอกจากนี้ องค์กรต่างๆ จะต้องทำการทดสอบความปลอดภัยเป็นประจำทุกปีเพื่อให้แน่ใจถึงประสิทธิภาพของการควบคุมความปลอดภัยขององค์กร
3. การวิเคราะห์ความเสี่ยง
เพื่อดำเนินการวิเคราะห์ความเสี่ยงด้านความปลอดภัย HHS ได้เสนอข้อกำหนดที่ละเอียดมากขึ้น ซึ่งรวมถึงการรักษาการประเมินเป็นลายลักษณ์อักษรที่ตรวจสอบรายการทรัพย์สินและแผนที่เครือข่าย ระบุภัยคุกคามที่อาจเกิดขึ้นต่อข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) และประเมินระดับความเสี่ยงของภัยคุกคามแต่ละประเภท องค์กรต่างๆ จะได้รับประโยชน์จากแนวทางเชิงรุกนี้โดยทำความเข้าใจและลดภัยคุกคามและความเสี่ยงด้านความปลอดภัยได้ดีขึ้น
4. การตรวจสอบบัญชีสินทรัพย์
องค์กรด้านการดูแลสุขภาพจะต้องพัฒนาระบบสำรวจทรัพย์สินและแผนที่เครือข่ายที่ติดตามการเคลื่อนตัวของ ePHI ในระบบต่างๆ ข้อกำหนดในการทำแผนที่ที่ครอบคลุมนี้จะช่วยระบุการกำหนดค่าที่ไม่ถูกต้องและความเสี่ยงด้านความปลอดภัย ทำให้มั่นใจได้ว่าทรัพย์สินทั้งหมดได้รับการรักษาความปลอดภัยอย่างเหมาะสมจากการเข้าถึงโดยไม่ได้รับอนุญาต
5. การเข้ารหัสลับ
PHI ทั้งหมดจะต้องได้รับการเข้ารหัสทั้งในขณะที่ไม่ได้ใช้งานและอยู่ระหว่างการส่ง ซึ่งสะท้อนถึงการเปลี่ยนแปลงไปสู่แนวทางการเข้ารหัสแบบบังคับแทนที่จะเป็นคำแนะนำที่เป็นทางเลือก การเปลี่ยนแปลงนี้เน้นย้ำถึงความสำคัญอย่างยิ่งในการรักษาความปลอดภัยข้อมูลผู้ป่วยที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาตในระหว่างการจัดเก็บและการส่ง
6. การสแกนช่องโหว่และการทดสอบการเจาะระบบ
องค์กรต่างๆ จะต้องดำเนินการสแกนช่องโหว่ทุก ๆ หกเดือนและดำเนินการทดสอบการเจาะระบบอย่างน้อยปีละครั้ง การประเมินเหล่านี้จะมีความสำคัญต่อการระบุจุดอ่อนในมาตรการรักษาความปลอดภัยก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากจุดอ่อนเหล่านั้น
7. การตรวจสอบการปฏิบัติตาม
หน่วยงานที่เกี่ยวข้องจะต้องดำเนินการตรวจสอบการปฏิบัติตามข้อกำหนดอย่างน้อยปีละครั้งเพื่อตรวจยืนยันว่ามีการนำการควบคุมทางเทคนิคไปใช้อย่างมีประสิทธิภาพ องค์กรต่างๆ จะต้องบันทึกการตรวจสอบนี้เพื่อพิสูจน์ว่าได้ปฏิบัติตามมาตรฐานความปลอดภัยที่อัปเดตแล้ว
8. อบรมให้ความรู้ด้านความปลอดภัย
กฎเกณฑ์ที่เสนอนี้รวมถึงข้อกำหนดการฝึกอบรมใหม่สำหรับสมาชิกในกำลังแรงงานเกี่ยวกับการระบุและรายงานเหตุการณ์ด้านความปลอดภัย การเข้าถึงระบบอิเล็กทรอนิกส์อย่างปลอดภัย และการทำความเข้าใจนโยบาย HIPAA เมื่อเข้าถึงระบบไอทีแล้ว จะต้องฝึกอบรมให้เสร็จสิ้นภายใน 30 วันและต้องต่ออายุทุกปี
ความจริงอันยากจะยอมรับสำหรับองค์กรด้านการดูแลสุขภาพ
แม้ว่าการอัปเดตเหล่านี้จะมีความสำคัญ แต่ก็เน้นย้ำถึงความท้าทายที่ผู้ให้บริการด้านการดูแลสุขภาพที่มีทรัพยากรไม่เพียงพอต้องเผชิญ การปฏิบัติตามกฎระเบียบเหล่านี้ต้องใช้ทรัพยากรที่เหมาะสม (ทีมไอทีและการลงทุน) ในด้านเทคโนโลยีและกระบวนการ ซึ่งผู้ให้บริการด้านการดูแลสุขภาพหลายรายมักประสบปัญหา การไม่ปฏิบัติตามกรอบการทำงานใหม่ที่เสนอโดย HIPAA อาจนำไปสู่การลงโทษตามกฎระเบียบ รวมถึงผลที่ตามมาจากการละเมิดความปลอดภัย องค์กรด้านการดูแลสุขภาพสามารถดำเนินขั้นตอนเชิงรุกเพื่อให้สอดคล้องกับแนวทางด้านความปลอดภัยใหม่ที่เสนอโดย HIPAA ซึ่งเรียกร้องให้มีมาตรการด้านความปลอดภัยที่เข้มงวดและครอบคลุมมากขึ้นได้ โดยการนำการควบคุมความปลอดภัยที่เข้มงวดยิ่งขึ้นมาใช้และยกระดับมาตรการด้านความปลอดภัยโดยรวม
แนวทางการรักษาความปลอดภัยเชิงรุกจะทำให้ปฏิบัติตามได้ง่ายขึ้น
การเปลี่ยนแปลงที่เสนอสำหรับกรอบงาน HIPAA ถือเป็นขั้นตอนที่จำเป็นในการช่วยให้ภาคส่วนการดูแลสุขภาพต่อสู้กับอาชญากรทางไซเบอร์ได้ โดยการจัดการความเสี่ยงและภัยคุกคามด้านความปลอดภัยที่แตกต่างกันในภาคส่วนนี้ HIPAA กำลังจัดทำแผนงานที่ชัดเจนสำหรับการลดความเสี่ยง อย่างไรก็ตาม การบรรลุการปฏิบัติตามข้อกำหนดจะต้องใช้ความพยายามอย่างมาก โดยเฉพาะอย่างยิ่งสำหรับองค์กรที่มีทรัพยากรไม่เพียงพอ ผู้ให้บริการด้านการดูแลสุขภาพต้องใช้แนวทางเชิงรุกในการรักษาความปลอดภัยและดำเนินการทันทีเพื่อให้สอดคล้องกับการเปลี่ยนแปลงเหล่านี้ โดยให้แน่ใจว่าไม่เพียงแต่ปฏิบัติตามข้อกำหนดเท่านั้น แต่ยังมีความยืดหยุ่นอีกด้วย
ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการ Silverfort สามารถช่วยเหลือคุณในการปฏิบัติตามข้อกำหนด HIPAA ได้หรือไม่ กำหนดเวลาการโทร กับหนึ่งในผู้เชี่ยวชาญของเราหรือ รับชมเว็บสัมมนาแบบตามต้องการของเราเพื่อให้แน่ใจว่าองค์กรของคุณได้รับการเตรียมพร้อม ได้รับการปกป้อง และเป็นไปตามข้อกำหนด