Vorsorge für den Schutz personenbezogener Daten und Sicherheit zu oft fehlt im healthcare-provider-Organisationen, durch inkonsistente Ebenen der cybersecurity Ausbildung und unglaublich niedrigen cybersecurity-budgets.
Dies ist ein Grund dafür, dass die Gesundheitsversorgung konsequent eine der am meisten verletzt Branchen in den letzten Jahren. Viele Gesundheits-und infosec-teams noch nicht ausreichende Erkenntnisse darüber, wo Ihre Daten Leben, oder sogar, ob es wurde exfiltrated oder anderweitig beeinträchtigt werden.
Kann Anbieter wirklich erfüllen von HIPAA-Anforderungen?
Wenn es um den Datenschutz, leider, die meisten healthcare-provider-Organisationen immer noch nicht den Grundanforderungen für HIPAA-Anforderungen, viel weniger diejenigen, die von der kalifornischen Consumer Privacy Act (CCPA) oder General Data Protection Regulation (GDPR).
Als Terry Ray, Gesundheitswesen cybersecurity-Experte und senior vice president bei Imperva, eine Daten-und application-security-Anbieter, erklärt: “bis vor kurzem, und vor kurzem, ich meine die letzten drei Jahre, den Datenschutz wurde die Zuständigkeit von den Eigentümern der Daten, im wesentlichen, Datenbank-Administratoren, bestimmte medizinische Fachabteilungen, auch Risiko-und legal-teams. In stark regulierten Unternehmen, diese teams wurden beauftragt, um den hohen spezifischen Vorschriften des Datenschutzes.“
„Zu oft, Organisationen priorisieren Sie Ihre Datenschutz-und Sicherheits-Strategie rund um die regulierten Daten, die nur auf Kosten von unregulierten Daten.“
Terry Ray, Imperva
„Diese Vorschriften wurden spezifisch genug, um in der Regel weisen Organisationen daran, einen Kurs der Aktion, die passen würden, eine Ausgabe oder ein Ergebnis notwendig, für die Einhaltung gesetzlicher Vorschriften, aber Sie waren auch vage genug, um Raum für die interpretation der Aktionen, die tendenziell immer noch die Vorschriften, aber Links Löcher in der Sicherheit rund um PHI.“
Dies ist belegt durch die enorme Menge und Umfang der Gesundheitsversorgung Verstöße gegen die zwischen 2014 und 2017, was die Frage aufwarf: Wie können Unternehmen bei der Einhaltung von Datenschutz-Bestimmungen, die immer noch Opfer von massiven Datenschutzverletzungen? Nicht zu verhindern, dass Datenmissbrauch ein Treiber hinter solchen Regelungen?
Begrüßung durch den chief information security officer
„Heute haben wir gesehen, Datenschutz Verantwortlichkeiten Verschiebung der alleinigen Zuständigkeit von derjenigen, die zuvor jetzt auch, wenn nicht angetrieben werden, ist der chief information security officer, und in einigen Ländern, data privacy officer“ Ray erklärt. „Es ist zwar ein positiv zu haben IT-Sicherheitsexperten nun verantwortlich für die Daten, die den unglücklichen Zustand, dass diese Fachleute sind nicht kompetent über Datenschutz oder Privatsphäre.“
Bedenkt, dass die meisten Daten online angesehen, auf Gesundheits-Portale, in EHR-Systemen und in anderen Orten ist letztlich stammen aus Datenbanken, die hinter den front-end-Systemen läuft das Geschäft, fügte er hinzu.
„Die Sicherung von Datenbanken ist ganz anders als die Absicherung von Netzwerken oder die end Punkte“, sagte er. “Aber überlegen Sie sich drei Fragen; einige sind leicht zu beantworten, die mit traditionellen IT-Technik, aber andere, die nicht so viel.“
Was zugegriffen wird und wer darauf zugegriffen?
Zwar sind beide wichtig, die Sicherheit der Daten ist marginal mehr über das „was“ als das „wer,“ er behauptete. „Was wurde zugegriffen“ neigt dazu, mehr Gewicht haben, als „wer zugegriffen,“ fügte er hinzu.
„Was ist mehr Wert?“, sagte er. „‚John abgerufenen Daten?‘ Leider gibt es nur sehr wenig verwertbare darüber. Vergleichen Sie, dass zu “ Eine million Datensätze von PHI auf die zugegriffen wurde, aber ich weiß nicht, von wem.‘ Zwar gibt es keine person benannt, das hier ist verwertbar und wichtig, tief in sich.“
In der secure-data-Welt, das wäre umsetzbare: „John zugegriffen eine million PHI records, und wenn er im Vergleich zu seinen Altersgenossen, seine Aktion ist sehr ungewöhnlich.‘ Dies ist eine Kombination von Daten-überwachung, Benutzer-monitoring und-Analysen, und immer die baseline-best practice in anderen hoch regulierten Sparten wie Finanzdienstleistungen, sagte Ray.
Also, was sind ein paar Taktiken Gesundheitswesen CIOs und CISOs verwenden können, um die Heilung der schlechte Zustand der cybersecurity? Ray hat drei Ratschläge:
„Erstens, monitor-Daten-Zugang“, riet er. “Dies ist mit Abstand der wichtigste erste Schritt. Wenn Sie Ihre Verantwortung ist, etwas zu schützen, müssen Sie es beobachten. Banken können das Konto für jeden fehlenden dollar ohne Kamera, aber haben Sie schon einmal auf eine bank, ohne eine Kamera? Sie haben sogar Kameras in den Tresor.
“Viel zu oft -, Sicherheits-teams, die versuchen, Daten zu sichern, ohne tatsächlich mit der überwachung auf. Dies ist ein sofortiger Ausfall. Diese teams benötigen, zu implementieren, der die entsprechende Technik bereitstellen zu können, das monitoring, um den Grad, die Sie für die Sicherheit brauchen, die über die grundlegenden Anforderungen der Verordnung.“
Log-Vorratsspeicherung und reporting
Zweite, Nutzung von Automatisierung, Ray geraten. Im Gegensatz zu den Netzwerk-und endpoint-Welt, Datenschutz und Sicherheit überqueren Sie eine Grenze, erfordert die langfristige Daten-Zugriff auf log-Vorratsspeicherung und reporting, sowie incident-Identifikation, erklärte er.
„Die meisten security-Produkte einfach schlecht Verhalten und Blase es an die Spitze,“ er behauptete. “Daten-Sicherheit erfordert-Technologie zu skalieren und zu sammeln alle Daten zugreifen und Scannen über die Zeit. HIPAA-Anforderungen für einige Auditoren bedeutet so viele wie sieben Jahre der Vorratsspeicherung von Daten. Dies ist nicht etwas, das security-teams eingesetzt werden, noch ausgerüstet zu verwalten.
„Diese Fachkräfte müssen zu erkennen, eine Voraussetzung, die hier für die Technologie nutzt, die schwere Mengen von Automatisierung, die die expertise der Sicherheit und verbessern durch Analysen gebaut, mit den Datenbank-Kenntnisse in security-teams fehlen.“
Und drittens, gehen weit über die Vorschriften, Ray Bestand.
Alle Daten, die innerhalb einer Organisation
„Security-teams sind nicht nur verantwortlich für PHI“, sagte er. “Sie sind verantwortlich für alle organisatorischen Daten. Sie würden gut daran tun, sich daran zu erinnern, beim erstellen einer Daten-Sicherheit Praxis. Allzu oft Organisationen die Priorisierung Ihrer Daten die Datenschutz-und Sicherheits-Strategie rund um die regulierten Daten, die nur auf Kosten von unregulierten Daten.“
Auf den ersten Blick mag es scheinen, OK, aber aus der Perspektive des Verbrauchers, kurz greift, sagte Ray.
„Betrachten Sie die payment-card-industry-Verordnung, PCI-DSS“, betonte er. “Es erfordert Organisationen, darunter Krankenhäuser und Anbieter, die Kreditkarten, zu überprüfen, dass der Zugang zu Daten. Aber wenn das alles ist, dass Sie gesichert wäre, würde dies bedeuten, dass Sie nicht haben, zu schützen, Ihren Namen, Ihre Adresse, Telefonnummer, Sozialversicherungsnummern und andere private Informationen, die der Verbraucher für sehr wichtig halten. Für ein Unternehmen, das Daten kann einfach nicht sein, Freiraum für eigene Regelungen und ungesichert.“
Dies ist auch der Grund, warum die Industrie jetzt sieht der Verbraucher Privatsphäre Gesetze wie die GDPR, CCPA und andere. In kurzen, Ray geraten, die security-teams sollten alle Daten in Ihrer Umgebung in Umfang und die Arbeit, um zu verhindern, dass ein Bruch auf der platine. CISOs sich einig, dass es besser wäre, zu identifizieren, die eine Verletzung in unwichtigen Daten zuerst, bevor Sie jemals bekam, um sensible Daten. Dies ist nur möglich, wenn security-teams befinden sich gerade alles, sagte Ray.
Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.