چگونه قوانین امنیتی HITECH و HIPAA رمزگذاری می‌شوند؟

توسط Nahid Rezaei امنیت, فنی و شبکه, کسب و کار و تجارت بدون دیدگاه

اگر شرکت شما در زمینه پزشکی فعالیت دارد و از داده‌های بیماران استفاده می‌کند، قوانین امنیتی وجود دارد که باید آن‌ها را رعایت کنید. HIPAA در زمان دولت کلینتون و قانون HITECH در زمان دولت اوباما ایجاد شد که برای تقویت نقاط ضعف سازمان‌ها در نگه‌داری اطلاعات بیماران و تسهیل پذیرش پرونده‌های دیجیتالی توسط سازمان‌های مراقبت‌های بهداشتی طراحی شد.

HIPAA و HITECH همچنین برای راحتی بیشتر مشتریان طراحی شده است. این اقدامات به بیماران اجازه می‌دهد تا اطلاعات خود را در صورت تمایل با شناسه کاربری ارائه شده بررسی نمایند. اطلاعات سوابق پزشکی الکترونیکی با عنوان اطلاعات سلامت حفاظت شده (PHI) خوانده می‌شود و مدیریت آن به قانون HIPAA محول شده است.

اطلاعات بهداشتی حفاظت‌شده الکترونیکی (ePHI) داده‌های حساسی هستند و تضمین می‌کند که اطلاعات پزشکی به صورت دیجیتالی با متخصصان مراقبت‌های بهداشتی و بیماران قابل اشتراک‌گذاری است. خدمات معتبر برای به اشتراک‌گذاری اطلاعات پزشکی در بسترهای دیجیتالی، خدمات سلامت از راه دور نامیده می‌شوند و این فناوری‌های ارتباطی از صدا، داده‌ها و هرگونه تصویر در برابر نقض داده‌ها محافظت می‌کنند.

هر دو این اقدامات با وضع قوانینی برای مدیریت اطلاعات حساس از داده‌ها محافظت می‌کنند و در هر دو قانون آمده است که سازمان‌ها باید قراردادهای تجاری را برای مدیریت اطلاعات سلامت تکمیل نمایند و موظف هستند از داده‌های مشتری مانند ضبط تماس‌ها و سوابق آن‌ها محافظت نمایند و داده‌ها را در هر شرایطی در حال انتقال یا بایگانی رمزگذاری نمایند.

HIPAA چیست؟

قانون اولیه HIPAA در سال 1996 تصویب شد و در سال‌های 2003 و 2005 به‌روز شد. HIPAA عملی است که با استفاده از فناوری‌هایی مانند شبکه‌های خصوصی مجازی (VPN) و امنیت لایه انتقال (TLS) از اطلاعات محافظت می‌کند. VPNها داده‌های محرمانه را هنگام حرکت در داخل و خارج از شبکه رمزگذاری می‌کنند و TLS امنیت لایه حمل‌ونقل نامیده می‌شود که پروتکلی است که داده‌های بیماران را رمزگذاری می‌کند. نقض داده‌ها معمولاً در سطح دستگاه رخ می‌دهد و پروتکل‌های رمزگذاری و تکنیک‌های آن در سطح شبکه اطمینان می‌دهند که دستگاه‌های بیمار و شرکت باعث ایجاد آسیب‌پذیری نمی‌شوند و اطلاعات فردی که توسط صنایع بیمه درمانی و بهداشتی نگهداری می‌شود از تقلب و سرقت محافظت می‌شود. همچنین HIPAA میزان دسترسی و وسعت برنامه‌های بهداشتی گروهی و برخی سیاست‌های بیمه درمانی شخصی را تنظیم می‌کند.

HITECH چیست؟

HITECH ابتدا در زمان دولت اوباما در سال 2009 تصویب شد. معماران HITECH تشخیص دادند که در عصری که مبادله اطلاعات الکترونیکی بهداشتی افزایش‌یافته است، باید محافظت‌های قوی‌تری انجام شود به همین دلیل قانون فناوری اطلاعات سلامت یعنی HITECH برای سلامت اقتصادی و بالینی در ابتدا به منظور ارائه دلایل پولی به سازمان‌های مراقبت‌های بهداشتی و شرکت‌های زیر نظر، برای به‌روزرسانی داده‌های بیماران طراحی شد.

در سال 2013، وزارت بهداشت و خدمات انسانی ایالات‌متحده (HHS) نسخه به‌روز شده‌ای از قانون HITECH-HIPAA Omnibus را صادر کرد که به طور مؤثر مشاغل زیادی را برای رعایت هر دو قوانین تحت تأثیر قرار داد.

اقدامات حفاظتی برای رمزگذاری پرونده‌های پزشکی

وقتی صحبت از حفاظت اطلاعات بیماران می‌شود، قوانین امنیتی HIPAA اجرای چندین ضمانت‌نامه مهم را الزامی می‌داند که شامل ضمانت‌های فنی، فیزیکی و اداری است. فرایند مدیریت امنیت پیچیده است، اما با اجرای صحیح، سازمان شما از سطح بالایی از حفاظت برخوردار خواهد بود.

ضمانت‌های فنی

اقدامات HIPAA و HITECH بیان می‌کنند که ضمانت‌های فنی که از اطلاعات ePHI محافظت و دسترسی به آن را کنترل می‌کند.

اجرای این ضمانت‌ها به اندازه و صنعت سازمان بستگی دارد. به همین دلیل، سازمان شما باید خطرات یا آسیب‌پذیری‌هایی را که ممکن است در مدیریت داده‌های بیمار وجود داشته باشد، شناسایی کند.

از شما خواسته می‌شود برخی از روش‌های کنترل دسترسی را پیاده‌سازی کنید، گزارش فعالیت‌ها و کنترل‌های حسابرسی را معرفی کنید. علاوه بر این، برخی از ابزارهای احراز هویت ePHI را معرفی کنید تا هرگونه تغییر داده شده یا تخریب‌شده قابل‌تشخیص شود. برای تسهیل امنیت بیشتر، خروج خودکار دستگاه‌ها با داده‌های HITECH-HIPAA نیز ضامنی است که می‌تواند از محافظت از هرگونه اطلاعات در دستگاه‌های فیزیکی اطمینان حاصل کند. حتی کسانی که به تسهیلات دسترسی دارند، نمی‌توانند به دستگاه‌هایی با داده‌های محافظت‌شده دسترسی داشته باشند.

حفاظت‌های فیزیکی

مقررات HIPAA همچنین برخی روش‌ها را تعیین می‌کند که در آن سازمان شما نیاز به افزودن یک لایه فیزیکی به اقدامات امنیتی ePHI شما دارد. به‌عنوان‌مثال، شما باید دسترسی به امکانات را به شدت کنترل کنید تا فقط کارشناسان مجاز دسترسی فیزیکی به سرورها و دستگاه‌هایی که حاوی داده‌های حساس هستند داشته باشند.

موقعیت مکانی ایستگاه‌های کاری و استفاده ایمن نیز ضامنی است که شما باید از آن استفاده کنید. قوانین HIPAA همچنین نحوه عملکرد توابع ePHI در این دستگاه‌ها را تعیین می‌کند.

دستگاه‌هایی که اطلاعات بیمار در آن‌ها وجود داشته باشد، حتی پس‌ازاینکه دیگر به طور فعال مورد استفاده قرار نمی‌گیرند، می‌توانند یک خطر امنیتی باشند. دستورالعمل‌های HIPAA بیان می‌کنند که یک کپی از هر ePHI باید قبل از جابجایی یک ایستگاه کاری تهیه شود. مدیریت صحیح داده‌ها هنگام جابجایی رسانه‌های الکترونیکی مانند درایوهای کلیدی نیز باید رعایت شود.

سرانجام، از آنجا که سازمان امکان ذخیره‌سازی از راه دور و دسترسی به داده‌های بیماران را از تلفن‌های هوشمند و دستگاه‌های تلفن همراه فراهم می‌کند، باید برای این موارد نیز از ضمانت‌ها استفاده شود. شرکت شما باید خط‌مشی‌هایی را تدوین کند که نحوه حذف داده‌های بیمار از این دستگاه‌ها هنگام خروج کاربر از سازمان یا ارتقاء یا استفاده مجدد دستگاه را مشخص نماید.

ضمانت‌های اداری

آخرین ضمانت‌هایی که باید اجرا شوند تا به قوانین حریم خصوصی HIPAA پایبند باشید، مربوط به مدیریت داده‌های ePHI است. این‌ها شامل سیاست‌ها و رویه‌هایی می‌شود که الزامات قوانین حریم خصوصی و امنیتی HITECH-HIPAA را ترکیب می‌کند.

بر اساس مقررات، از شما خواسته می‌شود تا به طور منظم ارزیابی را انجام دهید تا همه نقاط تماس با داده‌های بیمار را شناسایی کنید. هر منطقه‌ای که از ePHI استفاده می‌کنید امکان نقض داده وجود دارد باید ارزیابی و شناسایی شود تا هرگونه آسیب‌پذیری برطرف شود.

این مرحله ارزیابی ریسک باید در فواصل منظم تکرار شود. علاوه بر این، اگر کارکنانی هستند که هرگونه سیاست مربوط به این داده‌ها را نقض می‌کنند، باید سیاست تحریم نیز برای رسیدگی و کاهش احتمال وقوع حادثه وجود داشته باشد.

همچنین برای جلوگیری از تخلفات، باید آموزش منظمی برنامه‌ریزی شود تا احتمال وقوع نقض اطلاعات بیشتر کاهش یابد. موضوعات آموزشی می‌تواند شامل نحوه واکنش به نقض احتمالی داده‌ها و نحوه شناسایی نرم‌افزارهای مخرب گردد. شما باید هرگونه آموزشی را که به عنوان محافظ اداری در برابر حملات و تخلفات استفاده می‌شود، مستند کنید.

عدم رعایت این موارد نه تنها داده‌های بیمار را آشکار می‌کند، بلکه شیوه استفاده از ارتباطات رمزگذاری نشده، اعتماد ذینفعان را از بین می‌برد و به شهرت سازمان شما آسیب می‌رساند.

به همین دلیل، همه تلفن‌ها و دستگاه‌های خارجی باید دارای احراز هویت با شناسه کاربری شوند و همه داده‌های تماس باید ضبط‌شده و با استفاده از رمزگذاری به طور ایمن نگهداری شوند.

از آنجا که این اقدامات بر مشاغل تأثیر می‌گذارد، ارائه‌دهندگان خدمات تلفن ابری و UC باید با HIPAA سازگار باشند. با این توضیحات نباید از ارائه‌دهندگان خدمات که داده‌های ضبط‌شده را پس از چند ماه حذف می‌کنند، استفاده نمایید. علاوه بر این، از هر ارائه‌دهنده‌ای که محدودیت ذخیره‌سازی کمی دارد باید اجتناب شود زیرا ضبط تماس‌ها و فراداده‌ها می‌توانند فضای قابل‌توجهی را در سرورها مصرف کنند.

همچنین رمزگذاری داده‌ها فقط برای مشاغلی نیست که می‌خواهند با HIPAA و HITECH سازگار باشند، هر کسب‌وکار کوچک و متوسط (SMB) که با اطلاعات قابل‌شناسایی شخصی (PII) سروکار دارد باید از روش‌های رمزگذاری استفاده کند. این شامل روش‌های رمزگذاری برای داده‌های بایگانی‌شده و در حال استفاده است.

برای سیستم‌های Mac، نرم‌افزارهایی مانند FileVault و GNU Privacy Guard می‌توانند برای رمزگذاری رایانه‌ها استفاده شوند تا داده‌ها با HIPAA و HITECH سازگار گردند. برای دستگاه‌های Windows، راه‌حل‌هایی مانند BitLocker و Veracrypt گزینه‌های مفیدی هستند.

وقتی داده‌ها رمزگذاری می‌شوند، به مجموعه‌ای تصادفی از کاراکترها تجزیه می‌شوند که باید با استفاده از یک کلید یا رمز باز شوند. راه اصلی برای یک گروه مخرب برای باز کردن قفل داده‌های رمزگذاری شده، داشتن کلید رمزگشایی است که فقط باید در دست کارکنان فناوری اطلاعات و کارکنان مورد اعتماد باشد.

سیستم‌عامل‌های تلفن همراه مانند Android و iOS دارای رمزگذاری داخلی هستند. برای iPhone از قسمت تنظیمات، سپس Touch ID و Passcode و Passcode Options به شما امکان می‌دهد یک کد برای دستگاه انتخاب کنید. برای Android، این فرآیند را می‌توان با رفتن به تنظیمات، سپس به امنیت، رمزگذاری تلفن و در نهایت، باید یک کد تنظیم کنید.

داده‌های در حال انتقال در بستر وب هم از طریق لایه سوکت‌های امن (SSL) که وسیله‌ای برای محافظت از داده‌های شما در هنگام انتقال از یک دستگاه به دستگاه دیگر است، رمزگذاری می‌گردد. گواهی لایه اتصال امن (SSL) باعث رمزگذاری اطلاعات میان سرویس‌دهنده و سرویس‌گیرنده می‌شود و SSL از هرگونه اطلاعات حساسی که بین دو سیستم در حال تبادل است، حفاظت می‌کند و این گواهینامه از هک کردن و تغییر هرگونه اطلاعات منتقل شده شامل هر چیز حساس یا شخصی مانند جزئیات کارت اعتباری، ورود به سیستم حساب، سایر اطلاعات مالی، نام و آدرس باشد، جلوگیری می‌کند و این راه‌حل‌ها داده‌ها را به صورت مورد به مورد رمزگذاری می‌کنند. این‌ها به عنوان راه‌حل‌های عالی در حین انتقال عمل می‌کنند و به گونه‌ای قابل تنظیم هستند که سازمان می‌تواند الگوریتم رمزگذاری را به سرعت تغییر دهد.

این که آیا سازمان شما مستقیماً در زمینه مراقبت‌های بهداشتی فعالیت می‌کند یا شما فقط مشتریانی دارید که ارائه‌دهنده خدمات درمانی هستند، باید از قوانین HITECH-HIPAA پیروی نمایند و رعایت استانداردهای HITECH و HIPAA باعث صرفه‌جویی در پول می‌شود. همچنین راه‌حل رمزگذاری مناسب برای ارتباطات و داده‌های ذخیره‌شده شما یک چارچوب امنیتی برایتان فراهم می‌کند که شما را از جریمه و دعاوی حقوقی محافظت می‌کند.