اگر در شغل و یا کسب و کار مرتبط با مراقبت‌های بهداشتی کار می‌کنید، باید قانون HIPAA را دنبال کنید. رکن کلیدی HIPAA محافظت از اطلاعات شخصی و حساس بیماران است که بدون رضایت یا آگاهی آنها فاش نشود . همینطور قانون HIPAA شرکت‌ها و نهادهای مرتبط را ملزم به رعایت برخی الزامات امنیت سایبری می کند.

بر خلاف باور عمومی، HIPAA فقط بر نهادهای تحت پوشش مانند شرکت های مراقبت های بهداشتی تأثیر نمی گذارد. همه همکاران تجاری طرف با مراقبت های بهداشتی باید از آن پیروی کنند. این همکاران تجاری شامل وکلا، حسابداران، نمایندگان بیمه و غیره هستند. اساساً، هر شرکتی که پتانسیل دسترسی به اطلاعات بهداشتی محافظت شده را برای کارمندان فراهم می کند باید مطابق با HIPAA باشد.

بسیاری ازسازمان ها به متخصصان امنیت سایبری متخصص در HIPAA ، جهت اطمینان از اینکه همه الزامات رعایت شده و هیچ چیز از بین نمی رود ، مراجعه می کنند. کارشناسان پیروی از انطباقات را آسان می کنند و به سازمان ها کمک می کنند تا از ممیزی و جریمه اجتناب کنند. مهمتر از همه، راه حل های انطباق باید تعهدات HIPAA را انجام دهند. از حریم خصوصی بیمار محافظت کنند و امنیت اطلاعات بهداشتی خصوصی را تضمین کنند.

این الزامات امنیت سایبری اغلب شامل موارد زیر است:

• ارزیابی ریسک و ممیزی داخلی
• آموزش انطباق کارکنان
• مدیریت نقض داده ها

قانون HIPAA یک قانون فدرال است که ایجاد استانداردهای ملی را برای محافظت از اطلاعات حساس سلامت بیمار در برابر افشای بدون رضایت یا آگاهی بیمار الزامی می کند.

استانداردهای قانون حریم خصوصی به استفاده و افشای اطلاعات بهداشتی افراد (معروف به “اطلاعات بهداشتی محافظت شده”) توسط نهادهای مشمول این قانون حریم خصوصی مربوط می شود. این افراد و سازمانها “نهادهای تحت پوشش” نامیده می شوند. قانون حریم خصوصی همچنین شامل استانداردهایی برای حقوق افراد در درک و کنترل نحوه استفاده از اطلاعات بهداشتی آنها است. یک هدف اصلی از قانون حفظ حریم خصوصی این است که اطمینان حاصل شود از اطلاعات بهداشتی افراد به درستی محافظت می شود در حالی که اجازه می دهد جریان اطلاعات بهداشتی مورد نیاز برای ارائه و ارتقا care مراقبت های بهداشتی با کیفیت بالا و محافظت از سلامت و رفاه عمومی باشد. قانون حریم خصوصی تعادل ایجاد می کند که استفاده از اطلاعات مهم را مجاز می داند در حالی که از حریم خصوصی افرادی که به دنبال مراقبت و بهبود هستند محافظت می کند.

رسانه های اجتماعی و HIPAA
جایگاه انجمن بین المللی علمی زایمان (ICEA) معتقد است که رسانه های اجتماعی یک ابزار ارتباطی و بازاریابی ارزشمند و مهم هستند. تامادامی که رسانه های اجتماعی عاقلانه استفاده می شوند، میتوانند ارتباطات و مراودات را گسترش دهند. هنگامی که به طور نامناسب یا نامنظم مورد استفاده قرار گیرد، می توانند منجر به نقض محرمانه بودن اطلاعات و احتمالا نقض قانون مسئولیت پذیری ارسال و دریافت اطلاعات بیمه (HIPPA) شود که می تواند منجر به از دست رفتن اشتغال یا حتی جریمه های جنایی شود. متخصصین زنان و زایمان باید استفاده مناسب از رسانه های اجتماعی را بررسی کرده در عین حال به حفظ نظارت HIPAA و تصمیم گیری عاقلانه و اخلاقی در مورد اطلاعات برای ارسال و دریافت اطلاعات پزشکی نیز توجه داشته باشند.

قوانین امنیت سایبری در استاندارد HIPAA دسترسی به اطلاعات سلامتی محافظت شده را فقط برای افراد مجاز محدود می کند. تمام سخت افزارها، نرم افزارها و دستگاه هایی که در طول معاینه بیمار استفاده می شوند یا دستگاه هایی که اطلاعات شخصی او را ثبت می کنند باید محافظت شوند.

شرکت هایی که با اطلاعات بهداشتی محافظت شده (PHI) سر و کار دارند باید اقدامات امنیتی فیزیکی، شبکه و فرآیندی را در اختیار داشته باشند و برای اطمینان از انطباق با HIPAA از آنها پیروی کنند.

صنعت مراقبت های بهداشتی به دلایل مختلفی هدف اصلی مجرمان سایبری است. بسیاری از سازمان‌های مراقبت‌های بهداشتی برای ایمن کردن داده‌ها، از سوابق پزشکی الکترونیکی قدیمی افراد گرفته تا برقراری امنیت شبکه در تلاش هستند.

با توجه به اهمیت یکپارچگی شبکه و محرمانه بودن دادهها برای نهادهای تحت پوشش و شرکای تجاری، اولین قدم برای انطباق با HIPAA معمولا استخدام یک متخصص فناوری اطلاعات با تجربه برای انجام ممیزی و ارزیابی ریسک جامع امنیت سایبری است.

• چارچوب ها و استانداردهای برتر امنیت فناوری اطلاعات
• امنیت شبکۀ وایرلس در حوزه پزشکی با فورتی‌نت

نهادهای تحت پوشش و شرکای تجاری که ممیزی ریسک امنیت سایبری را انجام می‌دهند، از قانون امنیتی HIPAA که استانداردهای ملی را برای حفاظت از اطلاعات سلامت اشخاص ایجاد می‌کند نیز پیروی می کنند. بدین ترتیب شرکت‌های مراقبت‌های بهداشتی را ملزم می‌کند حفاظت‌های فنی مناسب را انجام دهند. این امر مستلزم تجزیه و تحلیل دقیق و کامل آسیب پذیری های بالقوه برای تمام مکانیزمهای دریافت ، نگهداری و ارسال اطلاعات سلامت بیمار می باشد. نهادهای تحت پوشش و شرکای تجاری باید اقدامات امنیتی را برای کاهش این خطرات امنیت سایبری اجرا کنند.

در طول ممیزی ریسک امنیتی، متخصص فناوری اطلاعات سیستم‌ها، زیرساخت‌ها، شبکه، رمزگذاری داده‌ها، انطباق و خط‌مشی‌های شرکت شما را ارزیابی می‌کند تا شکاف‌ها یا کمبودهای مقررات را تعیین کند. پس از آن، آنها توصیه هایی را برای تقویت امنیت سایبری و شبکه سازمان ارائه می دهند. به عنوان مثال، آنها ممکن است اضافه کردن احراز هویت دو مرحله‌ای را برای برنامه‌های نرم‌افزاری و ویژگی‌های امنیتی رایانه سطح بالا توصیه کنند.

در حالی که بسیاری تصور می کنند که عوامل مخرب باعث بیشترین نقض داده ها می شوند، اما از نظر آماری این تصور درست نیست. در سال 2022، گزارش بررسی‌های نقض داده‌های شرکت ورایزون نشان داد که اشتباهات انسانی بیش از 80 درصد از موارد نقض اطلاعات در صنعت مراقبت‌های بهداشتی را تشکیل می‌دهند. معمولا کارمندان ناخواسته باعث نقض اطلاعات می شوند.در این راستا آموزش ها و آگاهی رسانی های امنیتی نیروی کار روز به روز در درجه اهمیت بالاتری قرار می گیرد.

باج افزار دومین دلیل محتمل برای نقض داده ها در صنعت مراقبت های بهداشتی و یک تهدید فزاینده برای نهادهای تحت پوشش و شرکای تجاری است. اطلاعات محرمانه بیماران و شبکه های ناامن مانند معادن طلا برای مجرمان سایبری هستند. زمانی است که یک عامل مخرب اطلاعات حساس بیمار را با کلیدی که فقط خودش می داند رمزگذاری می کند تا زمانی که باج هنگفتی پرداخت شود. پس از پرداخت باج، بدافزارهایی را نیز مستقر می کنند که داده ها را از بین می برد.

برای جلوگیری از نقض داده ها، قانون امنیتی HIPAA ایجاب می کند که نهادهای تحت پوشش و شرکای تجاری اقدامات امنیتی زیر را برای کمک به آنها در پاسخگویی و بازیابی از یک حمله باج افزار اجرا کنند:

انجام ممیزی ریسک سالانه و اجرای فرآیند مدیریت امنیت
اجرای رویه هایی برای محافظت در برابر نرم افزارهای مخرب
آموزش و آگاهی رسانی امنیتی کاربران داخلی
اجرای کنترل‌های دسترسی برای محدود کردن دسترسی به اطلاعات سلامت بیمار برای افرادی که مجوز مناسب دارند
پشتیبان‌گیری مکرر (آفلاین و غیرقابل دسترسی از شبکه‌های سازمان) و اطمینان از توانایی بازیابی اطلاعات در صورت حمله باج‌افزار
برنامه های احتمالی قابل اعتماد و تداوم کسب و کار
ایجاد رویه ای برای گزارش دادن به افراد آسیب دیده در صورت نقض اطلاعات محافظت شده بهداشتی ظرف 60 روز پس از وقوع