ต่อไปนี้เป็นบทความรับเชิญโดย Yair Cohen ผู้ร่วมก่อตั้งและรองประธานฝ่ายผลิตภัณฑ์ของ ศูนย์
ในปี 2024 อุตสาหกรรมการดูแลสุขภาพของสหรัฐฯ เผชิญกับการโจมตีทางไซเบอร์ครั้งใหญ่ ซึ่งรวมถึงเหตุการณ์แรนซัมแวร์ Change Healthcare ที่สร้างความหายนะ ซึ่งเกิดขึ้นเพียงลำพัง ส่งผลกระทบต่อชาวอเมริกันหลายล้านคน และทำให้การดำเนินงานของโรงพยาบาลทั่วประเทศหยุดชะงัก ในช่วงสิ้นปี ผู้คนมากกว่า 182 ล้านคนได้รับผลกระทบจากการละเมิดข้อมูลด้านสุขภาพที่สำคัญกว่า 670 ครั้งซึ่งเน้นย้ำถึงความจำเป็นเร่งด่วนในการรักษาความปลอดภัยทางไซเบอร์และการกำกับดูแลข้อมูลที่แข็งแกร่งยิ่งขึ้นทั่วทั้งอุตสาหกรรม
ขณะนี้ เป็นครั้งแรกในรอบกว่าสองทศวรรษที่กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) กำลังเสนอ การอัปเดตกฎความปลอดภัย HIPAA ที่ครอบคลุม– การเปลี่ยนแปลงระยะยาวเหล่านี้มีจุดมุ่งหมายเพื่อปรับแนวปฏิบัติด้านความปลอดภัยด้านการดูแลสุขภาพให้สอดคล้องกับสภาพแวดล้อมภัยคุกคามในปัจจุบัน และจะปรับเปลี่ยนแนวทางการปกป้องข้อมูลและความปลอดภัยทางไซเบอร์ขององค์กรอย่างมีนัยสำคัญ
สำหรับทีมรักษาความปลอดภัย กฎใหม่หมายความว่าการจัดการข้อมูลจะต้องดำเนินการในเชิงรุก ระบบอัตโนมัตินั้นไม่ใช่สิ่งดี ๆ อีกต่อไป และความรับผิดชอบต่อความเสี่ยงจะต้องวัดผลได้ และเหนือสิ่งอื่นใด จะต้องต่อเนื่องกัน มาดูการเปลี่ยนแปลงที่สำคัญบางประการในกฎระเบียบ HIPAA และความหมายสำหรับทีมรักษาความปลอดภัยกันดีกว่า
จากที่อยู่ถึงบังคับ
การเปลี่ยนแปลงที่สำคัญที่สุดอย่างหนึ่งในข้อเสนอคือการขจัดข้อกำหนดการใช้งาน “ที่ระบุได้” ภายใต้กฎใหม่นี้ คุณลักษณะด้านความปลอดภัยทุกอย่าง ตั้งแต่การเข้ารหัสไปจนถึงการตอบสนองต่อเหตุการณ์ จะต้องได้รับการติดตั้ง บันทึก และบังคับใช้อย่างสมบูรณ์
ซึ่งหมายความว่าทีมรักษาความปลอดภัยไม่สามารถพึ่งพาการให้เหตุผลตามความเสี่ยงสำหรับการดำเนินการที่จำกัดหรือไม่สมบูรณ์ได้อีกต่อไป กรอบการกำกับดูแลต้องตรวจสอบให้แน่ใจว่าข้อกำหนดแต่ละรายการมีการปฏิบัติงานและตรวจสอบได้ ซึ่งหมายความว่าผู้นำด้านความปลอดภัยควรจัดลำดับความสำคัญของการพัฒนากลไกนโยบายและเครื่องมืออัตโนมัติในการปฏิบัติตามกฎระเบียบที่บังคับใช้มาตรการรักษาความปลอดภัยในโครงสร้างพื้นฐานดิจิทัลทั้งหมด
มุ่งเน้นไปที่การเข้ารหัส MFA และการควบคุมการเข้าถึง
การแก้ไข HIPAA ที่เสนอนั้นเน้นย้ำเสาหลักสามประการให้มากขึ้น ได้แก่ การเข้ารหัส การรับรองความถูกต้องแบบหลายปัจจัย (MFA) และการควบคุมการเข้าถึง
เมื่อพูดถึงข้อมูลสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) กฎใหม่กำหนดให้ต้องมีมาตรการการเข้ารหัสสำหรับ ePHI ทั้งหมด ไม่ว่าบันทึกจะอยู่ระหว่างการขนส่งหรือไม่ได้ใช้งานก็ตาม และการเข้าถึงระบบใดๆ ที่มี ePHI จะต้องมีฟีเจอร์ความปลอดภัยเพิ่มเติม ซึ่งรวมถึง MFA ด้วย นอกจากนี้ ในกรณีที่มีการเปลี่ยนแปลงบทบาทของพนักงานหรือการเลิกจ้าง องค์กรจะต้องตรวจสอบให้แน่ใจว่าการเข้าถึงฐานข้อมูลและระบบทั้งหมดถูกขัดจังหวะภายใน 24 ชั่วโมงนับจากที่พนักงานออกไป
การเปลี่ยนแปลงเหล่านี้มีผลกระทบอย่างมีนัยสำคัญต่อองค์กร โดยกำหนดให้องค์กรต้องยกเครื่องสถาปัตยกรรมการระบุตัวตนและการจัดการการเข้าถึง (IAM) ด้วยเหตุนี้ การควบคุมเฉพาะกิจจึงไม่เพียงพออีกต่อไป และทีมรักษาความปลอดภัยจะต้องบังคับใช้การเข้าถึงตามนโยบายแทน และรับรองการตอบสนองอย่างรวดเร็วเพื่อให้การควบคุมเป็นปัจจุบัน
การมองเห็นและการแมปข้อมูลที่ใช้งานอยู่
กฎนี้เปลี่ยนแปลงคำสั่งการอัปเดตประจำปีสำหรับสินค้าคงคลังสินทรัพย์เทคโนโลยีและการทำแผนที่เครือข่าย อย่างไรก็ตาม แนวทางปฏิบัติที่ดีที่สุดจะแนะนำสินค้าคงคลังและการแมปกิจกรรมอย่างต่อเนื่องเพื่อตรวจพบปัญหาตั้งแต่เนิ่นๆ สิ่งเหล่านี้เป็นขั้นตอนสำคัญในการติดตามว่า ePHI ไหลผ่านระบบอย่างไร และขณะนี้ทีมรักษาความปลอดภัยจะต้องรับผิดชอบทุกสถานที่ ทุกอุปกรณ์ และทุกแอปพลิเคชันที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน
หากไม่มีรายการสินทรัพย์ที่แม่นยำ องค์กรต่างๆ จะต้องเผชิญกับจุดบอดที่เป็นช่องโหว่ให้ผู้โจมตีสามารถหาประโยชน์ได้ ดังนั้นบริษัทต่างๆ จะต้องตรวจสอบให้แน่ใจว่าพวกเขามีเครื่องมือการจัดการข้อมูลที่สามารถติดตามและจำแนกประเภทได้อย่างต่อเนื่อง การติดตามสินทรัพย์ด้วยตนเองจะไม่เพียงพออีกต่อไปภายใต้กฎใหม่
การวิเคราะห์ความเสี่ยง การตอบสนองต่อเหตุการณ์ และความต่อเนื่องทางธุรกิจ
นวัตกรรมอีกประการหนึ่งภายใต้กฎใหม่กำหนดให้องค์กรต้องกู้คืนระบบและข้อมูลที่สูญหายภายใน 72 ชั่วโมงหลังเหตุการณ์ทางไซเบอร์ การเปลี่ยนแปลงนี้ช่วยลดระยะเวลาผ่อนผันสำหรับการตอบสนองต่อเหตุการณ์และการกู้คืนระบบลงอย่างมาก และจะต้องมีการประสานงานที่รวดเร็วและราบรื่นระหว่างทีมไอที ความปลอดภัย และการปฏิบัติตามกฎระเบียบ
เพื่อให้เป็นไปตามข้อกำหนด องค์กรต้องตรวจสอบให้แน่ใจว่าแผนการตอบสนองต่อเหตุการณ์ได้รับการจัดทำเป็นเอกสารอย่างละเอียดและทดสอบอย่างสม่ำเสมอ ทีมไอทีควรทดสอบแผนการกู้คืนความเสียหายที่มีอยู่ เช่น โดยการจำลองสถานการณ์การละเมิดเพื่อตรวจสอบให้แน่ใจว่าพวกเขาสามารถกู้คืนระบบที่เข้ารหัสหรือถูกบุกรุกภายในหน้าต่างที่กำหนดได้หรือไม่
นอกจากนี้ การประเมินความเสี่ยงจะต้องดำเนินการอย่างต่อเนื่องและครอบคลุม โดยกำหนดให้เป็นเรื่องสำคัญรายวันมากกว่าการออกกำลังกายเป็นระยะๆ ทีมรักษาความปลอดภัยจะต้องระบุช่องโหว่ในทุกระบบที่มีการโต้ตอบกับ ePHI และสาธิตแผนการแก้ไขที่พัฒนาไปพร้อมกับภัยคุกคามใหม่ๆ สิ่งนี้จำเป็นต้องบูรณาการกับข้อมูลภัยคุกคาม เครื่องมือจำแนกข้อมูล และแพลตฟอร์มการปฏิบัติตามกฎระเบียบ
ความสำคัญของแพลตฟอร์มอัตโนมัติและความปลอดภัยของข้อมูล
แนวทางปฏิบัติด้วยตนเองในการปฏิบัติตาม เช่น สเปรดชีตการติดตามสินทรัพย์หรือการตรวจสอบสิทธิ์การเข้าถึงโดยมนุษย์ จะไม่เพียงพอที่จะปฏิบัติตามกฎความปลอดภัย HIPAA ที่อัปเดตอีกต่อไป แพลตฟอร์มความปลอดภัยของข้อมูลนำเสนอเครื่องมือต่างๆ เช่น การบังคับใช้นโยบายการเข้ารหัสโดยอัตโนมัติและการแจ้งเตือนสำหรับการละเมิดนโยบายของกรอบการกำกับดูแล แดชบอร์ดสำหรับตรวจสอบสถานะการปฏิบัติตามข้อกำหนด และเอกสารและการรายงานแบบรวมศูนย์ ให้การมองเห็นแบบเรียลไทม์ว่า ePHI อาศัยอยู่ที่ใด วิธีใช้งาน และความปลอดภัยเพียงใด
ด้วยการจำแนกประเภท การติดตาม และการแก้ไขความเสี่ยงของข้อมูลที่ละเอียดอ่อนโดยอัตโนมัติ ทีมรักษาความปลอดภัยสามารถเปลี่ยนจากการป้องกันเชิงรับไปเป็นการจัดการเชิงรุกได้
ยุคใหม่ของความรับผิดชอบ
การอัปเดตที่เสนอสำหรับกฎความปลอดภัย HIPAA ถือเป็นจุดเปลี่ยนแปลงที่สำคัญสำหรับความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพ การปฏิบัติตามข้อกำหนดไม่ได้เกี่ยวกับการหลีกเลี่ยงค่าปรับอีกต่อไป แต่เป็นเรื่องของการสร้างระบบที่แข็งแกร่งและปลอดภัยที่จะปกป้องผู้ป่วยและรักษาความไว้วางใจ ทีมรักษาความปลอดภัยที่ถือว่าการเปลี่ยนแปลงนี้เป็นโอกาสเชิงกลยุทธ์แทนที่จะเป็นภาระด้านกฎระเบียบจะกลายมาเป็นผู้นำไม่เพียงแต่ในด้านการปฏิบัติตามกฎระเบียบเท่านั้น แต่ยังรวมถึงนวัตกรรมด้านการดูแลสุขภาพและความไว้วางใจทางดิจิทัลด้วย
เกี่ยวกับ ยาร์ โคเฮน
Yair Cohen เป็นผู้ร่วมก่อตั้งและรองประธานฝ่ายผลิตภัณฑ์ของ ศูนย์– เขาเป็นผู้จัดการผลิตภัณฑ์ที่มีความกระตือรือร้นและให้ความสำคัญกับลูกค้า โดยมีประสบการณ์ 18 ปีในด้านซอฟต์แวร์ระดับองค์กร ความปลอดภัย ข้อมูล และระบบคลาวด์ ก่อนที่จะมาร่วมงานกับ Sentra นั้น Yair เป็นผู้นำผลิตภัณฑ์ที่ดีที่สุดที่ Microsoft, Datadog และบริษัทอื่นๆ ที่เน้นระบบคลาวด์