«Есть так много мест, где можно жить»: проблемы ограничения ePHI

Когда дело доходит до электронного хранения и обмена информацией о пациентах, открываются огромные возможности; системы здравоохранения могут использовать ePHI, чтобы пролить свет на историю болезни пациента или добавить контекст к его здоровью.

Однако, по словам Рича Темпла, директора по информационным технологиям Центра сердца и легких Деборы, существуют также возможности для утечки PHI, будь то через личные устройства или другие устройства, которые выходят за рамки компетенции отдела информационной безопасности.

«Похоже, что ePHI распространяется так, как этого не было много лет назад», — сказал он во время панельная дискуссия с Джеймсом Кейсом (CISO, Baptist Health) и Дэвидом Тингом (технический директор и соучредитель Tausight). И хотя организации «прыгают изо всех сил, чтобы держать ситуацию под контролем», реальность такова, что существует «очень много путей, по которым они могут пройти», будь то системы PACS, устройства, сканеры или принтеры. «Есть так много мест, где он может жить».

Даже при наличии программного обеспечения для шифрования «я не могу со 100-процентной уверенностью сказать, что оно всегда работает», — отметил Темпл.

В результате команды безопасности могут полагаться на ручные усилия, сказал Кейс, добавив, что до того, как Baptist Health стала партнером Tausight, стратегия заключалась в том, чтобы «просто убедиться, что каждое устройство зашифровано». «Мы были в восторге от соблюдения требований шифрования устройств, потому что это был единственный инструмент в комплекте». По его словам, основное внимание уделялось тому, чтобы «гарантировать, что в случае потери или кражи устройства мы сможем доказать, что оно зашифровано». И, конечно же, обучайте пользователей тому, как правильно хранить PHI и пароли.

Конечно, эти меры важны, но когда дело доходит до защиты закрытой медицинской информации, их недостаточно, «особенно по мере того, как все больше организаций мигрируют в облако», — сказал Темпл. «С развитием облачных технологий и вариантов использования, выносящих PHI за пределы больниц, это становится сложнее». Хотя интерфейсный механизм Деборы предоставляет подробную карту потоков PHI, как входящих, так и исходящих, «в отделах существует множество случаев использования PHI. Мы должны быть уверены, что остаемся на высоте», особенно с учетом того факта, что не все организации имеют одинаковые меры защиты.

При обмене информацией с сотрудничающими организациями «вы должны убедиться, что все зашифровано от начала до конца», добавил он. Оставаться на вершине этого, создавая карты процессов и потоки, которые показывают, какие данные перемещаются из точки А в точку Б, а также куда они перемещаются и почему, играет решающую роль.

А когда обнаруживается несоблюдение требований, команда Кейса вмешивается и удаляет ЗМИ, чтобы снизить риск. Следующий этап предполагает отслеживание движения, применение полученных знаний и последующий поворот, чтобы определить, нужно ли корректировать политику или образование.

Видимость данных

Ключевым компонентом этого, по мнению Тинга, является наличие правильных инструментов. И хотя он считает, что большинство решений по кибербезопасности более чем адекватны, когда речь идет об усилении физической безопасности и обеспечении того, чтобы руководители знали, что происходит на аппаратном или сетевом уровне во время передачи данных, «вы не можете видеть, где находятся данные». «Кто и как его использует и какие приложения он затрагивает», — сказал он.

Каждый из этих шагов имеет разные политики, которые можно применять для обеспечения охвата всех вариантов использования. «Соблюдается ли эта политика? Каковы исключения? Как мне усилить политику или меры контроля, чтобы начать контролировать такое поведение? Все это имеет решающее значение», — добавил он.

С помощью платформы PHI Security Intelligence от Tausight руководители могут отслеживать наборы пользователей и получать доступ к важной информации, например о том, какие машины использовались, какой контент был доступен и перемещен на персональные устройства. Самыми серьезными нарушителями, как отметил Тинг, являются незашифрованные ноутбуки, содержащие PHI.

Культура имеет значение

По мнению участников дискуссии, не менее важно, чем наглядность данных и наличие правильных инструментов, — это наличие культуры, в которой нарушители привлекаются к ответственности. Невыполнение этого требования может иметь серьезные последствия, поскольку даже, казалось бы, незначительные нарушения могут «перерасти в крупные системные проблемы», — сказал Темпл.

В «Деборе», которая в значительной степени полагается на рекомендации, одной из таких проблем является использование текстовых сообщений SMS для передачи информации о переводе пациентов. «Вы должны использовать защищенные текстовые сообщения», — отметил Темпл, чья команда столкнулась с сопротивлением со стороны врачей, которые не хотят загружать еще одно приложение.

Хотя с точки зрения пользователя это может быть проще, стандартные текстовые сообщения слишком рискованны, и лидеры должны это ясно дать понять. «Если вы не будете применять это на практике и будете постоянно говорить людям, что они не могут этого сделать, это станет отдельной культурой», — добавил он. «И вы рискуете получить крупномасштабные утечки информации, и вы рискуете, что люди будут бесцеремонно делиться конфиденциальной информацией. Эти мелочи могут превратиться в большие вещи, если вы не будете очень внимательно следить за ними и не преуменьшаете их с самого начала».

«Деловые решения»

Конечно, ответственность лежит не только на одном ведомстве. В качестве директора по информационным технологиям Темпл тесно сотрудничает с вопросами конфиденциальности, соблюдения нормативных требований и юридического обеспечения, чтобы политики включали в себя вклад других ключевых заинтересованных сторон. «Одно дело, когда отдел информационных систем говорит: «Мы собираемся сделать X, Y и Z», но вам нужна всеобщая поддержка», — сказал он. «Вам необходимо иметь всеобщее понимание, и вам необходимо расширять сферу деятельности, чтобы убедиться, что люди знают, что это за политика, почему она существует, и что у нас должны быть средства для мониторинга соблюдения этой политики. И это не то, что один отдел может или должен делать. Это должен быть межведомственный подход».

Кейс также выступил за партнерство в вопросах конфиденциальности, аудита, рисков и соблюдения требований, отметив, что безопасность PHI является частью более широкой проблемы предотвращения потери данных и к ней следует относиться соответственно. Хотя он взял на себя ведущую роль в разработке политики, это была командная работа с участием нескольких департаментов. В результате они смогли «вместе разобраться в этом, работать над контролем и обсуждать риски, категория за категорией, политика за политикой или структура за структурой». Такой подход также помогает гарантировать, что «это не просто ИТ-решение; это бизнес-решение с участием ИТ-специалистов».

Как и в случае со многими другими приоритетами, защита ePHI требует соблюдения тонкой грани; в данном случае это баланс между принятием решений с учетом рисков и поддержанием прочных отношений. Один из способов, которым Кейс надеется добиться этого, — это еженедельные встречи со своим CMIO, в ходе которых они обсуждают болевые точки пользователей, связанные с безопасностью, и способы их решения.

Он добавил, что обеспечение того, чтобы каждый имел право голоса, имеет решающее значение. «Мы всегда пытаемся сбалансировать это, потому что идеального решения не существует. «Если мы зайдём слишком далеко вправо, это плохо. Но если мы слишком сильно отклонимся в другую сторону, это тоже плохо. Это постоянная очередь».

«Образование на каждом шагу»

Последний — и, пожалуй, самый важный — компонент успешной защиты ePHI — это образование, которое, по мнению Темпла, должно быть последовательным и многогранным. В Deborah это делается с помощью ряда методов, включая обязательное компьютерное обучение, ознакомительные и адаптационные занятия, а также фальшивые фишинговые кампании.

И недостаточно просто проводить тесты; лидерам необходимо говорить о последствиях перехода по ссылкам. «Все, что может привести к раскрытию ePHI, может оказаться потенциально разрушительным», — сказал он. Поэтому «нам необходимо образование на каждом шагу. Нам нужен мониторинг на каждом шагу. Это бесконечно. Чтобы иметь эффективный план, вам нужно соединить все эти вещи воедино».

Чтобы просмотреть архив этого вебинара — Следуйте инструкциям ePHI: Ключи к защите ваших наиболее конфиденциальных данных (при поддержке Tausight) — пожалуйста кликните сюда.