Aktualności

dlp_instytucje-medyczne

Dlaczego Instytucje opieki zdrowotnej potrzebują rozwiązania DLP?

Informacje zdrowotne należą do najbardziej wrażliwych kategorii danych. Gromadzone są w dużych ilościach i często przechowywane w podatnych systemach informatycznych. Stały się one atrakcyjnym celem dla ataków przez hackerów i międzynarodowe zespoły zajmujące się cyberterroryzmem, które chcą uzyskać korzyści majątkowe.

Wzrost liczby ataków na infrastrukturę podmiotów medycznych doprowadził do szeregu głośnych przypadków naruszenia ochrony danych na całym świecie, a podmioty ponoszą z tego tytułu  konsekwencje wizerunkowe, prawne i finansowe. Oprócz zagrożeń z zewnątrz dane dotyczące pacjentów są również narażone na zagrożenia wewnętrzne, takie jak błędy ludzkie, nieostrożność, a także niezadowoleni pracownicy lub nieodpowiedzialni współpracownicy podmiotów zewnętrznych, które wspierają funkcjonowanie podmiotu medycznych.

Często spotykanym przypadkiem jest brak odpowiedniego zarządzania bezpieczeństwem informacji w podmiotach medycznych. Przepisy prawa regulują wymagania w tym zakresie, uwzględniają przepisy w zakresie GDPR (RODO) jak również przepisów branżowych, normach i standardach.

Podmioty medyczne przetwarzają dane, które określone są danymi wrażliwymi i są bardzo cenne dla samego podmiotu, a przede wszystkim ważne w zakresie odpowiedzialności za zdrowie i życie pacjentów. Pomimo tego, podmioty medyczne ponoszą najwyższe średnie koszty naruszenia danych ochrony danych, które powoduje również naruszenie zagrożenia życia i zdrowia pacjentów.

Wrażliwe typy danych, które należy chronić to:

  • Dane medyczne – informacje o pacjentach;
  • Informacje finansowe pacjenta, w tym dane dotyczące kart płatniczych;
  • Dane dotyczące opieki nad pacjentem;
  • Informacje umożliwiające identyfikację osoby (dane osobowe);
  • Własność intelektualna;
  • Dane dotyczące roszczeń i kosztów;
  • Dane nieustrukturyzowane, takie jak dane kliniczne i dane dotyczące zachowania pacjenta;
  • Dane finansowe podmiotu leczniczego.

Problemy związane z bezpieczeństwem danych w podmiotach medycznych.

Brak świadomości i odpowiedzialności pracowników

Jednym z największych czynników przyczyniających się do naruszenia danych w sektorze opieki zdrowotnej są pracownicy podmiotu. Niezależnie od tego, czy jest to nieostrożność z ich strony w pracy z wrażliwymi danymi lub podatność na ataki phishingowe lub ataki socjotechniczne, osoby posiadające uprawnienia do danych medycznych lub innego rodzaju danych często stanowią największe zagrożenie dla danych, które przetwarza podmiot medyczny. Dlatego tak ważne jest, aby pracownicy otrzymali odpowiednie szkolenia, które nauczą ich najlepszych praktyk w zakresie postępowania z danymi wrażliwymi oraz będą posiadały odpowiednią świadomość wymagań prawnych i standardów w zakresie bezpieczeństwa informacji (cyberbezpieczeństwa) czy ochrony danych osobowych.

Jednak w przypadku błędów ludzkich szkolenia  są mniej skuteczne, ponieważ implikują nieświadome błędy popełnione przez pracownika. Oznacza to, że może zdarzyć się sytuacja naruszenia ochrony danych każdemu, niezależnie od tego, jak dobrze jest poinformowany o niebezpieczeństwach związanych z naruszeniem danych. Pracownicy czujący presję terminu lub po prostu czują się zmęczonym, mogą łatwo wysłać  np.: e-mail do niewłaściwej osoby lub publicznie udostępnić dokument.

Ochrona danych osobowych

Przepisy szczególne w zakresie ochrony danych, takie jak HIPAA w USA i GDPR w UE  nakładają  wymagania w zakresie stosowania środków technicznych i organizacyjnych, które mają zapewnić odpowiedni stopień ochrony tych danych. Ponieważ brak zgodności z przepisami wiąże się z wysokimi karami, spełnienie wymagań przepisów dotyczących ochrony danych jest kluczowym problemem dla wielu podmiotów opieki zdrowotnej. Muszą one zbadać, które przepisy mają zastosowanie i wymagania, do których są zobowiązane.

Podmioty zewnętrzne

Wiele firm z sektora opieki zdrowotnej współpracuje z podwykonawcami i chociaż mogą mieć wdrożone silne strategie ochrony danych, to te strony trzecie mogą nie posiadać odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych. Przepisy takie jak HIPAA i GDPR (RODO) uwzględniają powierzenie przetwarzania danych podmiotom zewnętrznym, które realizują usługi w zakresie przetwarzania danych, przy czym podmioty medyczne gromadzące dane ponoszą nadal odpowiedzialność prawną w przypadku naruszenia danych. Oznacza to, że w przypadku naruszenia danych przez  procesora (podmiot przetwarzający w imieniu administratora), grzywny będą nakładane nie tylko na stronę odpowiedzialną za to naruszenie, ale także na administratora danych, który miał obowiązek chronić dane, które przetwarza, uwzględniając powierzenie przetwarzania tych danych.

Najlepsze praktyki ochrony danych dla podmiotów medycznych.

Wiedza o tym, gdzie znajdują się wrażliwe dane – Kto i jak je wykorzystuje.

Wiele instytucji opieki zdrowotnej wkłada cały swój wysiłek w ochronę swoich sieci przed ingerencją z zewnątrz. Jednak, chociaż jest to istotna część strategii ochrony danych, ważne jest, aby skupić się na wrażliwych informacjach, które przyciągają ataki. Chroniąc bezpośrednio dane wrażliwe, podmioty chronią się nie tylko przed zagrożeniami zewnętrznymi, ale również przed złośliwymi intruzami i nieostrożnością pracowników. Najpierw jednak, muszą one wiedzieć, gdzie znajdują się ich dane i kto ma do nich dostęp. Identyfikacja i przejrzystość danych oraz narzędzia, które pomagają w ścisłym monitorowaniu danych wrażliwych gdziekolwiek się znajdują, mają kluczowe znaczenie dla skutecznego cyberbezpieczeństwa.

Sprawdzanie podmiotów zewnętrznych

Organizacje opieki zdrowotnej muszą wymagać od swoich procesorów (podmiotów przetwarzających w imieniu administratora) udowodnienia, że stosują najlepsze praktyki bezpieczeństwa zgodnie z ich własnymi ramami bezpieczeństwa cybernetycznego (bezpieczeństwa informacji, GDPR) w celu zapewnienia, że istnieje odpowiedni poziom bezpieczeństwa w celu ochrony wszelkich danych, które mogą być przekazywane tym stronom trzecim w celu przetwarzania danych lub w ramach usług zleconych.

Tworzenie i testowanie – plan reagowania na naruszenie danych.

Podmioty medyczne są coraz częstszymi celami ataków cybernetycznych, a im większa ilość danych, które gromadzą, tym bardziej są kuszącym celem. I chociaż zbudowane silne cyberbezpieczeństwo oparte na standardach takich jak CIS Controls czy ISO 27001, 22301 mogą zapobiec nawet 97% wszystkich wszystkich naruszeń danych, to smutna rzeczywistość jest taka, że nie ma niezawodnego planu zapobiegającego wszystkim naruszeniom danych.

Zdarza się, że pracownik omija środki bezpieczeństwa z powodu frustracji lub ktoś z wysokim poziomem dostępu ulega atakowi socjotechnicznemu lub nowo odkryta luka w oprogramowaniu lub sprzęcie jest wykorzystywana, zanim zdąży się ją załatać. Są to nieoczekiwane sytuacje które mogą zagrozić nawet najbardziej szczelnej strategii ochrony danych.

Ponieważ nie ma możliwości zagwarantowania, że firma nie ma gwarancji, że organizacja opieki zdrowotnej nie zostanie dotknięta naruszeniem danych. Ważne jest, aby posiadała plan reagowania na naruszenie danych i przetestowała go wcześniej, aby zapewnić jego skuteczność. W ten sposób pracownicy są przygotowani na wypadek naruszenia bezpieczeństwa i wiedzą, czego się od nich oczekuje, gdy do niego dojdzie.

Powody, dla których DLP jest niezbędne dla instytucji opieki zdrowotnej.

Oszczędność pieniędzy

Średni łączny koszt naruszenia danych w branży opieki zdrowotnej jest wyższy niż średnia dla całej branży według raportu Cost of a Data Breach 2020 raportu. Oznacza to zasadniczo, że oprócz utraty zaufania pacjentów i uszczerbku na wizerunku firmy, istnieje również znaczna strata finansowa, którą trzeba zapłacić. Dlatego dla instytucji opieki zdrowotnej mniej kosztowne jest zainwestować w środki ochrony danych i zapewnić odpowiednie poziom bezpieczeństwa, niż ryzykować, że dojdzie do incydentu i podmiot będzie zmuszony do zapłacenia okupu za odblokowanie systemów.

Przejrzystości informacji

Podczas gdy tradycyjne rozwiązania zabezpieczeń ochrony danych, takie jak antywirusy i zapory sieciowe mają za zadanie chronić przed intruzami i stanowią istotną część każdej strategii ochrony danych, to pełnią one bardziej ogólną rolę jaką jest ochrona sieci podmiotu medycznego i wszystkich jej danych. Narzędzia DLP (Data Loss Prevention) są przeznaczone do ochrony specjalnych kategorii danych, poprzez predefiniowane lub dostosowane polityki kategorii informacji, wyszukiwanie wrażliwych danych w sieci podmiotu i ich monitorowania. W ten sposób, instytucje opieki zdrowotnej mogą mieć jasny obraz gdzie przechowywane są wrażliwe dane pacjentów oraz jak są one przesyłane i wykorzystywane przez pracowników.

Ochrona reputacji

Gdy organizacja nie spełnia wymagań, do których jest prawnie zobowiązana, powoduje to utratę zaufania u dotychczasowych pacjentów i generuje niechęć u nowych. Osoby fizyczne mogą unikać instytucji z udokumentowaną historią naruszeń danych. Podmioty medycznes stosując strategie ochrony danych, mogą zapewnić pacjentów, że poważnie traktują ochronę danych i pozostają w zgodzie z przepisami ochrony ich danych osobowych (danych medycznych).

Kontrola urządzeń przenośnych

Kolejna strategia ochrony danych jest związana z urządzeniami przenośnymi, często wykorzystywanymi jako luka w zabezpieczeniach zarówno przez osoby wewnątrz podmiotu, jak i ataki z zewnątrz. Pliki mogą być łatwo skopiowane na przykład na USB, a następnie wynieść poza środowisko pracy, gdzie zarówno one, jak i znajdujące się na nich dane są bardzo narażone na niebezpieczeństwo. Dyski zewnętrzne, pamięci masowe, są jeszcze bardziej problematyczne, chociaż bardziej widoczne niż USB. Narzędzia DLP mogą blokować podłączanie urządzeń wymiennych do podłączyć do punktów końcowych lub zezwolić na podłączenie transferu plików tylko na zaufanych urządzeniach, takich, które instytucje opieki zdrowotnej wydają swoim pracownikom. Dotyczy to również pracy w chmurze i odległych centrów kopii zapasowych.

Według Ponemon Institute średni całkowity koszt naruszenia danych dla firm z branży opieki zdrowotnej wzrósł o 29% do 9,23 mln USD. Zdrowie i farmaceutyki należą do branż o najwyższych rocznych kosztach zagrożeń wewnętrznych, wynoszących ponad 10 mln USD rocznie (Ponemon Institute, 2022).

Jak zabezpieczyć dane w celu zapewnienia zgodności z przepisami prawa dzięki rozwiązaniom Safetica DLP?

  • Szyfrowanie danych
  • Przyjęcie zasad zabezpieczeń i zdefiniowanie upoważnionych pracowników do uzyskiwania dostępu do chronionych informacji o zdrowiu
  • Użyj rozwiązania DLP, aby chronić swoje dane przed zagrożeniami wewnętrznymi i egzekwować zasady bezpieczeństwa.
  • Regularnie edukuj swoich pracowników
  • Zabezpiecz swoje miejsce pracy, przyjmij zasady dotyczące pracy z poufnymi dokumentami

W jaki sposób Safetica zabezpiecza Twoje dane w celu zapewnienia zgodności z przepisami prawa, normami i standardami?

  • Safetica szyfruje Twoje dane i chroni je w przypadku utraty lub kradzieży urządzenia.
  • Safetica to rozwiązanie DLP, które chroni Twoje dane przed zagrożeniami wewnętrznymi. Zdefiniuj, które operacje mogą być ryzykowne i zablokuj je lub spraw, aby Safetica powiadomiła Ciebie i Twoich pracowników o potencjalnych zagrożeniach.
  • Dzięki Safetica łatwo jest przyjąć politykę bezpieczeństwa i zdefiniować upoważnionych pracowników, którzy mogą pracować z danymi medycznymi. Możesz ustawić swoje zasady bezpieczeństwa i monitorować, czy poufne dane Twojej firmy są niewłaściwie wykorzystywane, i zezwalać tylko upoważnionym osobom na dostęp do nich.
  • Regularnie edukuj swoich pracowników. Safetica powiadamia Twoich pracowników w przypadku ryzykownych operacji, dzięki czemu są bardziej świadomi bezpieczeństwa danych.
  • Zabezpiecz swoje miejsce pracy i zastosuj zasady dotyczące pracy z poufnymi dokumentami. Safetica przeprowadza audyty bezpieczeństwa i zapewnia regularne raporty, które pozwalają dostosować politykę bezpieczeństwa.

Rozwiązania DLP są obecnie jednym z najlepszych rozwiązań w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa, która zapewnia spełnienie wymogów prawnych i standardów ora norm międzynarodowych w zakresie bezpieczeństwa informacji i cyberbezpieczeństwa.

Jeżeli chcecie Państwo zapewnić takie rozwiązanie w swoim podmiocie medycznym lub innym podmiocie gdzie wartość informacji jest podstawowym elementem ich działalności, zapraszamy do kontaktu z naszymi specjalistami w zakresie rozwiązań DLP (wdrożenia, nadzór, szkolenia) oraz działem audytów i wdrożeń z zakresu ochrony danych osobowych, bezpieczeństwa informacji i cyberbezpieczeństwa. Jeżeli jesteście Państwo zainteresowani webinarem lub dodatkowymi informacjami prosimy o kontakt.

CYBER HELP

Jeżeli chcesz wprowadzić odpowiedni poziom bezpieczeństwa informacji, cyberbezpieczeństwa, ochrony danych osobowych lub podejrzewasz, że wystąpił w Twojej organizacji incydent, możesz się z nami skontaktować za pomocą niniejszego formularza kontaktowego lub telefonicznie.

Wszelkie informacje uzyskane mają charakter poufny.

ZGŁOŚ PROBLEM Z CYBERBEZPIECZEŃSTWEM