Как зашифровать данные, соответствующие требованиям HITECH и HIPAA [Руководство]

Опубликовано: 2020-03-02

Если ваша компания работает в сфере, где используются данные пациентов, вы должны соблюдать правила безопасности HIPAA. Два закона защищают электронные медицинские карты. HIPAA, созданный при администрации Клинтона, был разработан для пациентов с надежной цифровой системой здравоохранения, даже когда они были в перерывах между работой. Закон о HITECH, принятый при администрации Обамы, был разработан для устранения недостатков в HITECH и содействия внедрению цифровых записей организациями здравоохранения.

Оба этих акта защищают данные о здоровье американцев, устанавливая правила управления конфиденциальной информацией. Поскольку оба закона гласят, что организации должны заключать деловые соглашения для управления медицинской информацией в США, ответственность несут даже офшорные организации. Недостаточно защитить защищенные данные клиентов, такие как записи вызовов и записи, зашифровав их, когда они находятся в состоянии покоя — организации также должны защищать данные во время их передачи. Соблюдение требований — единственный способ избежать суровых наказаний.

И HIPAA, и HITECH также предназначены для обеспечения дополнительного удобства клиентов. Действия позволяют пациентам просматривать информацию о своем здоровье в удобное для них время с помощью предоставленного идентификатора пользователя. Медицинская информация, защищенная электронным способом (ePHI), является конфиденциальной информацией, и ее соблюдение защитит вас и ваших сотрудников от ответственности в будущем.

Соответствие также гарантирует, что медицинская информация может быть передана в цифровом виде как медицинским работникам, так и пациентам. Проверенные услуги по обмену медицинской информацией через цифровые платформы называются услугами телемедицины, и эти коммуникационные технологии защищают голос, данные и любые изображения от утечек данных.

  • Что такое ХИПАА?
  • Что такое ХАЙТЕК?
  • Как соответствие требованиям HITECH-HIPAA влияет на бизнес?
  • Гарантии шифрования медицинских записей
    • Технические гарантии
    • Физические гарантии
    • Административные гарантии
  • Зашифрованные данные защищают организации
  • Способы шифрования данных
    • Как вы шифруете данные на ПК?
    • Как вы шифруете данные на мобильных устройствах?
    • Как вы шифруете данные в пути?
  • Каковы передовые методы шифрования?
    • Инвестируйте в передовое программное обеспечение для шифрования
    • Управляйте ключами разумно
    • Ежедневно тестируйте безопасность
    • Реализовать аутентификацию пользователей
  • Почему вы должны шифровать свои данные?
    • Защищает компанию от ответственности
    • Упрощает внедрение новых технологий
    • Обеспечивает архивацию данных записи звонков
  • Сохранение соответствия требованиям HITECH и HIPAA экономит деньги

Что такое ХИПАА?

Закон о переносимости и подотчетности медицинского страхования был первой попыткой конгресса помочь людям сохранять свои медицинские записи и страховку между местами работы. Первоначальный закон был принят в 1996 году и получил обновления в 2003 и 2005 годах. Помимо упрощения поддержания медицинского страхования для сотрудников и бывших сотрудников, HIPAA также представляет собой закон, защищающий информацию с помощью таких технологий, как виртуальные частные сети (VPN) и шифрование безопасности транспортного уровня (TLS).

  • VPN: Виртуальные частные сети шифруют конфиденциальные данные, когда они перемещаются по сети и за ее пределами.
  • TLS: безопасность транспортного уровня — это протокол, который использует шифры для шифрования данных пациентов. Некоторые алгоритмы, генерирующие шифры, менее безопасны, чем другие.

HIPAA напрямую влияет на планы медицинского страхования, поставщиков медицинских услуг и информационные центры здравоохранения. Первоначально закон не распространялся на деловых партнеров этих организаций. Любая информация, к которой осуществляется доступ на мобильных устройствах, должна использовать идентификаторы пользователей для медицинских работников и пациентов. Утечки данных, как правило, происходят на уровне устройства, а протоколы шифрования и методы шифрования на сетевом уровне гарантируют, что устройства пациента и компании не станут причиной уязвимостей. Политики «Принеси свое устройство» должны требовать установки программного обеспечения для шифрования.

Нарушения HIPAA могут дорого обойтись: в мае 2019 года компания Touchstone Medical Imaging была оштрафована на три миллиона долларов за использование стороннего центра обработки данных, который раскрыл электронные медицинские карты (HER) более 300 000 пациентов.

Что такое ХАЙТЕК?

Закон об информационных технологиях здравоохранения для экономического и клинического здравоохранения изначально был разработан, чтобы предоставить организациям здравоохранения и их партнерам финансовые причины для обновления данных о своих пациентах. Архитекторы HITECH осознали необходимость более надежной защиты в эпоху, когда увеличился обмен электронной медицинской информацией. HITECH был первоначально принят при администрации Обамы в 2009 году.

Организации здравоохранения, которые переходят на цифровые данные, получают денежное вознаграждение от правительства, но все затронутые организации несут ответственность за безопасное обращение с защищенными медицинскими картами пациентов. Существует четыре уровня нарушений для медицинских компаний и их ассоциированных партнеров, которые отражают уровень ответственности за нарушения. На максимальном уровне штраф за одно нарушение безопасности составляет 1,5 миллиона долларов. Важно понимать, что HITECH возлагает бремя ответственности как на плечи организации, так и на ее сотрудников и возлагает на них ответственность за умышленное пренебрежение.

Как соответствие требованиям HITECH-HIPAA влияет на бизнес?

Ваш бизнес должен обеспечить полное соответствие, если вы работаете, даже косвенно, с медицинскими данными пациентов. Это включает в себя прямые данные или даже записи звонков, которые могут содержать информацию о планах медицинского обслуживания пациентов или истории болезни. Например, простое использование широко используемого приложения, такого как Facetime, подвергнет вашу компанию штрафам, если какой-либо аспект медицинских данных пациентов будет обсуждаться с использованием платформы. Использование любого программного обеспечения, не одобренного HIPAA или HITECH для телемедицины, является серьезным нарушением федерального законодательства.

В 2013 году Министерство здравоохранения и социальных служб США (HHS) выпустило обновленную версию сводного правила HITECH-HIPAA, которое фактически расширило количество предприятий, затронутых обоими законами. Хотя это было несколько лет назад, вполне возможно, что бизнес может плавать в водах HITECH-HIPAA и не знать, что на него распространяются политики этих законов о соблюдении требований здравоохранения.

Таким образом, если вы попадаете в классификацию организаций, подпадающих под действие HIPAA, что означает, что вы являетесь организацией здравоохранения, информационным центром здравоохранения, администратором плана медицинского страхования или деловым партнером любой из этих организаций, вам необходимо убедиться, точное соблюдение или нести ответственность. По закону деловые партнеры должны подписать соглашение о деловом партнерстве (BAA), чтобы они понимали, что несут ответственность за неправильное управление данными ePHI.

Утечки данных происходят все чаще, но при правильном уровне шифрования и правильно выбранном провайдере связи вы сможете защитить себя и свои данные. Каждый год секретарь HHS издает инструкции для затронутых организаций здравоохранения. Следите за ними, чтобы предупредить вас о любых изменениях в федеральной политике, которые могли измениться.

В сфере унифицированных коммуникаций существует множество технологий, которые могут отправлять данные. Это будет включать корпоративные SMS, электронные формы и программное обеспечение для видеоконференций. Каждый из них передает соответствующие данные по каналам интернет-коммуникаций, а это означает, что каждый аспект коммуникационной технологии должен быть полностью совместим. Вот несколько функций унифицированных коммуникаций, которые необходимо шифровать для защиты медицинских данных пациентов:

  • Тексты
  • Голосовые звонки
  • Записи звонков
  • Факсы
  • Голосовые сообщения
  • Видеоконференции
  • Чаты
  • Общий доступ к файлам

Шифрование на каждом этапе

Кроме того, шифрование должно выполняться, когда данные находятся в состоянии покоя, а также когда они находятся в пути.

В состоянии покоя

Это когда данные хранятся в статическом месте, например на сервере. Данные в состоянии покоя просто хранятся для будущего использования, а шифрование используется для обеспечения того, чтобы хакеры VoIP, использующие бэкдоры, которые могли возникнуть из-за потери пакетов, не смогли получить доступ к хранимым данным. Злоумышленники ценят такие данные, поскольку они имеют тенденцию быть более полными.

В процессе перевозки

Транзитные данные напрямую влияют на телефонную службу VoIP и унифицированные коммуникации, поскольку этот тип шифрования происходит, когда данные разбиваются на пакеты и отправляются по назначению. Шифрование данных при передаче предназначено не только для информации, передаваемой через интернет-соединение, иногда это шифрование также используется для данных, передаваемых по локальной сети (LAN) или глобальной сети (WAN).

Гарантии шифрования медицинских записей

шифрование данных

Когда дело доходит до защиты информации о пациентах, правила безопасности HIPAA требуют реализации нескольких важных мер безопасности. К видам, предусмотренным федеральным законом, относятся технические, физические и административные меры безопасности. Процесс управления безопасностью сложен, но при правильной реализации ваша организация будет иметь высокий уровень защиты.

Технические гарантии

Законы HIPAA и HITECH гласят, что технические меры защиты — это «технология и процедуры политики ее использования, которые защищают электронную защищенную медицинскую информацию и контролируют доступ к ней».

Реализация этих мер безопасности будет зависеть от размера и отрасли организации. По этой причине вашей организации необходимо определить любые риски или уязвимости, которые могут присутствовать в управлении данными пациентов.

Вам потребуется внедрить некоторую методологию управления доступом, ввести журналы активности и элементы управления аудитом. В дополнение к этому вы должны ввести некоторые средства аутентификации ePHI, чтобы можно было обнаружить любые измененные или уничтоженные данные. Для повышения безопасности автоматический выход устройств с данными HITECH-HIPAA также является гарантией, которая может гарантировать защиту любых данных на физических устройствах. Даже те, кому предоставлен доступ к объекту, не смогут получить доступ к устройствам с защищенными данными.

Физические гарантии

Правила HIPAA также диктуют некоторые методологии, в соответствии с которыми вашей организации потребуется добавить физический уровень к мерам безопасности ePHI. Например, вам потребуется строго контролировать доступ к объектам, чтобы только авторизованные агенты имели физический доступ к серверам и устройствам, содержащим конфиденциальные данные.

Размещение рабочей станции и безопасное использование также является мерой предосторожности, которую вам придется реализовать. Например, необходимо будет использовать такие объекты, как барьеры вокруг рабочих станций. Правила HIPAA также определяют, как функции ePHI должны выполняться на этих устройствах.

Устройства, на которых была информация о пациенте, могут представлять угрозу безопасности, даже если они больше не используются активно. В рекомендациях HIPAA указано, что инвентаризация оборудования ePHI должна храниться и поддерживаться. Кроме того, перед перемещением рабочей станции необходимо сделать копию любого ePHI. Также необходимо соблюдать надлежащее управление данными при перемещении электронных носителей, таких как приводы ключей.

Наконец, поскольку корпоративная мобильность позволяет удаленно хранить и получать доступ к данным пациентов со смартфонов и мобильных устройств, для этих элементов также необходимо использовать меры безопасности. Ваша компания должна разработать политики, подробно описывающие, как данные пациентов удаляются с этих устройств, когда пользователь покидает организацию или устройство обновляется или используется повторно. Надлежащие процедуры обращения с устройствами, соответствующие этим рекомендациям, предотвратят инциденты безопасности прямого доступа.

Административные гарантии

Последние меры безопасности, которые необходимо реализовать для соблюдения правил конфиденциальности HIPAA, относятся к администрированию данных ePHI. Это повлечет за собой политики и процедуры, которые сочетают в себе требования как правил конфиденциальности, так и правил безопасности HITECH-HIPAA.

В соответствии с федеральными нормами вам необходимо будет проводить регулярную оценку рисков, чтобы определить все точки контакта с данными пациентов. Любая область, в которой используется ePHI, должна быть оценена. Если есть точки, где возможна утечка данных, она должна быть идентифицирована, а любые уязвимости устранены.

Эта фаза оценки риска должна повторяться через регулярные промежутки времени. В дополнение к этому, если есть сотрудники, которые нарушили какие-либо политики, связанные с этими данными, должна быть также политика санкций для устранения и снижения вероятности инцидентов.

Кроме того, для предотвращения утечек необходимо запланировать регулярное обучение, чтобы еще больше снизить вероятность инцидента с утечкой данных. Темы обучения могут включать в себя то, как реагировать на потенциальную утечку данных и как идентифицировать вредоносное программное обеспечение. Вам придется документировать любое обучение, используемое в качестве административной защиты от атак и взломов.

Вам также потребуется разработать, протестировать и внедрить план на случай непредвиденных обстоятельств. Это необходимо для защиты данных в случае чрезвычайной ситуации, которая может быть связана с утечкой данных или стихийным бедствием. Надлежащее планирование гарантирует, что сбои в бизнес-процессах будут устранены, а процедуры могут продолжаться без дальнейшего риска для данных. В аварийном режиме должны быть доступны резервные копии и политики, помогающие восстановить любые потерянные данные.

Современный бизнес часто требует помощи третьих лиц. HIPAA и HITECH диктуют, что деловые партнеры несут ответственность за утечку данных, но организации также должны ограничивать доступ к данным третьим лицам, которым это не требуется. Сюда входят субподрядчики, поставщики программного обеспечения и головные организации. Кроме того, соглашения BAA должны быть подписаны для любой третьей стороны, которой предоставляется доступ.

Наконец, при обнаружении инцидента безопасности необходимо сообщить об этом. Иногда инциденты безопасности не всегда указывают на нарушение, но во всех ситуациях о них необходимо сообщать, чтобы локализовать инцидент и получить данные. Это позволит соответствующим сторонам провести оценку рисков и определить, были ли данные украдены или утеряны. Надлежащая отчетность обеспечивает более эффективное аварийное восстановление и может способствовать лучшему анализу рисков.

Требования к уведомлению о нарушении HIPAA гласят, что предприятия должны немедленно сообщить о нарушении защищенных медицинских данных. Согласно HIPAA, нарушение определяется как «как правило, недопустимое использование или раскрытие в соответствии с Правилом конфиденциальности, которое ставит под угрозу безопасность или конфиденциальность защищенной медицинской информации». В случае нарушения вы должны сообщить об этом затронутым лицам и секретарю HHS. Федеральная политика может даже требовать, чтобы о нарушении также сообщалось в средствах массовой информации.

Зашифрованные данные защищают организации

организация шифрования данных

Несоблюдение не только раскрывает данные пациентов, но и практика использования незашифрованных сообщений подрывает доверие заинтересованных сторон и наносит ущерб репутации вашей организации. Поскольку одно нарушение HITECH стоит миллионы, несоответствующие организации также относительно легко могут быть вытеснены из бизнеса из-за незащищенной информации.

Для соответствия требованиям все телефоны и внешние устройства должны включать аутентификацию с использованием идентификатора пользователя, а все данные вызовов должны записываться и надежно храниться с использованием шифрования в состоянии покоя. Это защитит данные вашей организации в случае кражи ноутбука или телефона. В дополнение к записям вызовов, в которых хранится голосовая информация, все административные функции, выполняемые во время разговора с пациентом, требуют записи. Это называется хранением метаданных.

Поскольку эти действия затрагивают предприятия и их партнеров, поставщики телефонных услуг VoIP и унифицированных коммуникаций должны соответствовать требованиям HIPAA. Это также означает, что поставщики услуг, которые удаляют данные записи через несколько месяцев, не могут быть использованы. Кроме того, следует избегать любого провайдера с низкими ограничениями на хранилище, поскольку записи вызовов и метаданные могут занимать значительное место на серверах.

Способы шифрования данных

Шифрование данных предназначено не только для предприятий, которые хотят соответствовать требованиям HIPAA и HITECH. Любому малому и среднему бизнесу (SMB), имеющему дело с информацией, позволяющей установить личность (PII), необходимо будет использовать методологии шифрования. Это включает методы шифрования как для хранимых, так и для передаваемых данных. Утечки данных, не связанные со здравоохранением, могут не наказываться регулирующими органами, но утечка данных такого типа все же может открыть вашу организацию для судебных исков, связанных с утечкой.

Как вы шифруете данные на ПК?

Для систем Mac программное обеспечение, такое как FileVault и GNU Privacy Guard, может использоваться для шифрования компьютеров, чтобы данные соответствовали требованиям HIPAA и HITECH. Для компьютеров с Windows полезны такие решения, как BitLocker и Veracrypt.

Когда данные зашифрованы, они разбиваются на случайный набор символов, которые необходимо разблокировать с помощью ключа или шифра. Основной способ для злоумышленника разблокировать зашифрованные данные — получить ключ дешифрования, который должен находиться только в руках ИТ-персонала и доверенных сотрудников. К счастью, когда речь идет о хранимых данных, большинство аппаратных платформ спроектированы с плавной реализацией функций шифрования, чтобы ваша компания могла защитить свою информацию.

Как вы шифруете данные на мобильных устройствах?

Мобильные платформы, такие как Android и iOS, имеют встроенное шифрование. Для iPhone простой переход к настройкам, затем Touch ID и пароль, а также параметры пароля позволят вам выбрать числовой или буквенно-цифровой код для устройства. Для Android процесс можно завершить, перейдя в «Настройки», затем в «Безопасность», затем в «Зашифровать телефон» и, наконец, вам нужно будет установить числовой код. На Android процесс сложный и может занять до часа — обязательно держите телефон подключенным к сети.

Как вы шифруете данные в пути?

Уровень защищенных сокетов (SSL) также является средством защиты ваших данных при их перемещении с устройства на устройство. Если вы когда-либо видели слова «безопасный» рядом с URL-адресом на веб-сайте, это туннелирование SSL в действии. SSL явно используется для браузерных и облачных решений для обеспечения уровня шифрования при передаче файлов.

Все эти методы шифрования защитят ваши данные во время их хранения на жестких дисках, но для соответствия требованиям HITECH-HIPAA ваши данные должны быть защищены во время их передачи. Такие провайдеры, как 8×8, Mitel, RingCentral for Healthcare и Zoom, предоставляют своим подписчикам шифрование в пути, а также имеют соглашения BAA. Поставщики, подобные этим, очень ценны за их способность шифровать ваши данные во время их передачи, когда некоторая защищенная информация наиболее уязвима.

Кроме того, шлюзы облачного шифрования — это прокси-сервер облачной безопасности, работающий на уровне приложений. Эти решения шифруют и токенизируют данные поэлементно. Они работают как отличные решения для транспортировки и настраиваются, чтобы организация могла менять алгоритм шифрования на лету. Вы сможете выбрать более высокий уровень шифрования или выбрать менее строгий уровень шифрования, чтобы сохранить формат файла и любую сортировку, связанную с файлами.

Лучшие практики для шифрования

Чтобы защитить себя и данные ePHI вашей организации, вам необходимо выполнить несколько шагов. Вот краткий список передовых методов шифрования, совместимых с HITECH-HIPAA.

Инвестируйте в передовое программное обеспечение для шифрования

Нарушения HIPAA разрушают малый бизнес, поэтому инвестиции в более полнофункциональное решение для шифрования, которое будет соответствовать национальным стандартам безопасности, вполне окупаются. Хорошее решение обеспечивает быстрое шифрование, и у многих есть инструменты, которые помогут решить любые проблемы, которые могут возникнуть. Например, в случае ошибки хороший инструмент шифрования предупредит вас и предложит решение, которое можно использовать для приведения системы в соответствие со стандартами безопасности. Кроме того, качественное программное обеспечение будет создавать журналы, чтобы администраторы могли просматривать состояние зашифрованных данных.

Управляйте ключами разумно

Согласно документации, предоставленной HHS, вся защищенная медицинская информация (PHI) должна быть полностью неразборчивой без специальной системы ключей. Требования HIPAA гласят, что данные должны быть зашифрованы с использованием алгоритмов, а ключ не должен находиться на том же устройстве, где хранится информация о пациенте.

Ключи шифрования предоставляют вам средства для быстрой расшифровки любых данных, которые могут храниться на ваших дисках или серверах. HHS требует высокого уровня безопасности для этих ключей и заявляет, что вы не должны хранить ключи на том же устройстве, на котором хранятся зашифрованные данные. Надлежащее управление ключами требует, чтобы вы хранили эти ключи в безопасности, поскольку их потеря означает потерю ваших данных. Рекомендуется использовать поставщика хранилища, чтобы иметь безопасный метод извлечения данных, когда они потребуются.

Ежедневно тестируйте безопасность

Как владелец бизнеса и основная заинтересованная сторона вы захотите иметь безопасный централизованный процесс управления всеми зашифрованными данными. Это означает, что рекомендуется искать решения для шифрования, которые позволят вам использовать веб-панель управления, которая предоставит метрики, подробно описывающие, что происходит с вашими зашифрованными данными. С его помощью вы сможете быть в курсе мер безопасности и состояния зашифрованной идентифицируемой медицинской информации на серверах и связанных устройствах. Это включает в себя оповещения об обновлениях, конфигурации устройства и журналы.

Реализовать аутентификацию пользователей

С самого начала HIPAA требовало, чтобы организации использовали аутентификацию пользователей для доступа к данным ePHI. Большинство компаний используют имена пользователей и пароли, но есть и новые технологии, повышающие безопасность при работе с конфиденциальными данными. При наличии правильных инструментов риск несанкционированного доступа к информационным системам пациентов значительно снижается. Например, внедрение таких технологий, как криптографические токены и биометрия, является надежным способом гарантировать, что только аутентифицированные пользователи будут иметь контроль над доступом к своим зашифрованным данным.

Почему вы должны шифровать свои данные?

защитить данные клиентов

Теперь, когда вы знаете, как начать шифрование и некоторые из лучших практик, давайте рассмотрим несколько важных причин для шифрования ваших данных.

Защищает компанию от ответственности

Не попадитесь на многомиллионный штраф. Шифрование защитит ваши данные от нарушений безопасности, которые угрожают вашему бизнесу. Это также защитит вас от ответственности; пациенты с украденными данными подали иски о нарушении конфиденциальности, особенно если утечка данных затронула нескольких пациентов. Шифрование — гораздо более дешевая альтернатива.

Упрощает внедрение новых технологий

Технология постоянно обновляется, и постоянно выпускаются новые технологии шифрования. Шифрование на основе провайдера имеет то преимущество, что оно автоматически обновляется их персоналом. Когда обновления и новые технологии станут доступны, ваша организация обновится, чтобы обеспечить более высокий уровень безопасности ePHI. Даже программное обеспечение, установленное локально, может быть быстро обновлено ИТ-персоналом, чтобы добавить дополнительный уровень защиты данных. Это особенно актуально для провайдеров VoIP, имеющих облачную структуру.

С увеличением количества автоматизированных систем и диалогового ИИ, собранная информация о клиентах должна быть защищена.

Обеспечивает архивацию данных записи звонков

Данные, собранные с помощью программного обеспечения для записи звонков, могут защитить вашу компанию, поскольку содержат полезную информацию, которая принесет пользу вашей организации, если пациент решит подать на вас в суд. В соответствии с HIPAA и HITECH большинство данных записи звонков хранятся в течение неопределенного времени, поэтому они будут доступны для осмысленного использования, когда это необходимо.

Соблюдение требований HITECH и HIPAA экономит деньги

Независимо от того, работает ли ваша организация непосредственно в сфере здравоохранения или у вас просто есть клиенты, являющиеся поставщиками медицинских услуг, вы должны соответствовать требованиям HITECH-HIPAA. Правильное решение для шифрования ваших сообщений и хранимых данных предоставит вам систему безопасности, которая защитит вас от штрафов и судебных исков. Пациенты и клиенты имеют право на неприкосновенность частной жизни, поэтому поговорите со своей ИТ-организацией, чтобы определить, предприняли ли вы все необходимые шаги для полного шифрования соответствующих данных.

Вы можете считать премиум-шифрование ненужными расходами, но, потратив несколько дополнительных долларов на повышенное соответствие требованиям HITECH-HIPAA, вы не допустите, чтобы ваш бизнес превратился в последнюю ужасную историю об утечке данных.

Для получения дополнительной информации о регистрации ваших звонков для лучшего соответствия требованиям ознакомьтесь с нашим руководством по функциям регистрации звонков, на которые следует обратить внимание при выборе решения.