إصلاح قواعد HIPAA الأمنية: ما تحتاج إلى معرفته الآن

في 27 ديسمبر 2024، أصدر مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية الأمريكية (HHS) مؤخرًا اقتراحًا طال انتظاره تحديث لقاعدة أمن قانون نقل التأمين الصحي والمساءلة (HIPAA)لقد تغيرت العديد من الأمور في مجال الرعاية الصحية الرقمية منذ آخر تحديث للقاعدة في عام 2013. واليوم، تعتمد صناعة الرعاية الصحية بشكل شبه كامل على التكنولوجيا لتقديم الرعاية للمرضى. ويشمل ذلك:

• التوسع السريع في إنترنت الأشياء في مجال الرعاية الصحية والأجهزة الطبية المتصلة
• الاستخدام الواسع النطاق للذكاء الاصطناعي والتعلم الآلي لاستخراج بحيرات البيانات الطبية الضخمة التي تولدها الصناعة الآن

وتأخذ القواعد المحدثة في الاعتبار الاستخدام الواسع النطاق لتقنيات الحوسبة السحابية والافتراضية. كما تتضمن أحكامًا تتعلق بتقنيات أحدث، بما في ذلك الواقع الافتراضي والحوسبة الكمومية.

صدر قانون HIPAA في عام 1996، في وقت لم تقم فيه سوى قِلة من المستشفيات أو مجموعات التأمين الصحي بالتحول إلى السجلات الرقمية وكان معظم المستخدمين يعتبرون اتصال الإنترنت بسرعة 28.8 كيلوبت في الثانية سريعًا. كانت شبكات WiFi والأجهزة المحمولة والشبكات الخلوية 5G لا تزال أحلامًا بعيدة المنال، وكذلك التبادل الهادف للمعلومات بتنسيق رقمي بين جميع المشاركين في علاج المرضى. اعتُبرت قاعدة أمن HIPAA على وجه الخصوص قديمة منذ لحظة نشرها، على الرغم من أن قاعدة خصوصية HIPAA لقد كان أداء الشركة أفضل. في عام 2009، قانون HITECH تم تحديث متطلبات الأمان للكيانات المغطاة بقانون التأمين الصحي المحمول والمساءلة (HIPAA) والشركاء التجاريين (BAs) لتأخذ في الاعتبار التغييرات في التكنولوجيا وبعض الغموض الرئيسي في لغة القاعدة الأصلية. تم إجراء تحديث شامل آخر في عام 2013 لأسباب مماثلة.

متى تم الإعلان عن التغييرات في قاعدة أمن HIPAA؟

في 27 ديسمبر 2024، أعلن مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية (OCR) عن إشعار بإصدار قواعد مقترحة (NPRM) لتعديل قاعدة أمن HIPAA لعام 1996 لتعزيز حماية الأمن السيبراني للمعلومات الصحية المحمية إلكترونيًا (ePHI). تسعى القاعدة "إلى تعزيز الأمن السيبراني من خلال تحديث معايير قاعدة الأمن بشكل أفضل لمعالجة التهديدات الأمنية السيبرانية المتزايدة باستمرار لقطاع الرعاية الصحية". (يمكنك العثور على ملخص كامل للتغييرات المقترحة على قاعدة أمن HIPAA في بيان حقائق (على موقع HHS الإلكتروني.)

إن أغلب التغييرات المقترحة على قاعدة أمن HIPAA يتم متابعتها بالفعل من قبل CES أكبر وأفضل تمويلًا بموجب HIPAA، على الرغم من أنه ربما لا يتم متابعتها من قبل جميع المحللين الماليين. تحدد القواعد المقترحة بشكل أكثر تفصيلاً كل من القواعد "المطلوبة" و"القابلة للمعالجة" التي يجب على المحللين الماليين والمحللين الماليين اتباعها بالفعل. ومع ذلك، فإن ما كان يُعتبر سابقًا "قابلاً للمعالجة" أصبح الآن "متطلبًا" بموجب تغييرات القواعد المقترحة.

مجالات الاهتمام المحددة بتغيير قواعد الأمن الخاصة بقانون التأمين الصحي المحمول والمساءلة (HIPAA)

فيما يلي بعض المجالات المحددة ذات الاهتمام المتعلقة بتغيير قاعدة أمن HIPAA المقترحة:

• تؤدي لغة تغيير القاعدة المقترحة إلى إزالة التمييز بين "الكيان المغطى" (CE) و"الشريك التجاري" (BA) وتستخدم بدلاً من ذلك مصطلح "الكيان المنظم" (RE).
• لقد تم إزالة التمييز بين "المطلوب" و"القابل للتوجيه". فكلاهما الآن متطلبات ويجب تنفيذها. وتمت إضافة حدود زمنية لتلبية المتطلبات والامتثال لها.
• تم تغيير العديد من المصطلحات في قواعد أمن HIPAA مثل "الوسائط الإلكترونية" لتأخذ في الاعتبار الاستخدام الأوسع لتقنيات VoIP، والرعاية الصحية عن بعد، والمراسلة الرقمية، والسحابة، والذكاء الاصطناعي.
• الآن أصبح من المطلوب إجراء جرد كامل للأصول المتصلة بالشبكة، إلى جانب خريطة للشبكة توضح حركة المعلومات الصحية الإلكترونية الشخصية في جميع أنحاء شبكة الكيانات الخاضعة للتنظيم. ويجب تحديث هذه الخريطة كل 12 شهرًا على الأقل أو عند انضمام أصول جديدة إلى الشبكة.
• تحتاج كل مؤسسة طاقة إلى معرفة مكان وجود جميع معلوماتها الصحية المحمية على شبكتها وفي أي الأنظمة، سواء كانت مملوكة ومدارة من قبل المؤسسة أو أي كيان آخر.
• أصبح من الضروري الآن تقسيم الشبكة بين الشبكات التشغيلية وشبكات تكنولوجيا المعلومات.
• أصبح من المطلوب الآن تحسين الاختبارات المنتظمة وتحليل المخاطر الأمنية، بما في ذلك:
  • جرد الأصول التكنولوجية وخريطة الشبكة
  • تحسين التعرف على التهديدات والثغرات والمخاطر التي تهدد سرية المعلومات الصحية الشخصية وسلامتها وتوافرها.
• أصبح من المطلوب الآن تحسين عملية التدقيق على إمكانية وصول المستخدمين إلى المعلومات الصحية الشخصية.
• أصبح من المطلوب الآن تحسين استمرارية الأعمال والتخطيط للطوارئ وقدرات الاستجابة للحوادث الأمنية.
• الآن أصبح المصادقة متعددة العوامل مطلوبة.
• تم تحديد حد أدنى لوقت الإخطار بـ 24 ساعة. وينطبق هذا على شركات الأعمال لإخطار المهندسين المدنيين، وعلى المقاولين من الباطن لإخطار شركات الأعمال.

كيف تؤثر التغييرات المقترحة على قواعد HIPAA الأمنية على المستشفيات

إذا كانت الكيانات الخاضعة للتنظيم (RE) تمتثل حاليًا بشكل كامل لقاعدة أمن HIPAA (كما تم تحديثها بواسطة HITECH وOmnibus)، فلن يتغير سوى القليل جدًا. ومع ذلك، فإن معظم الكيانات الخاضعة للتنظيم غير متوافقة اليوم. ينص اقتراح قاعدة الأمن المحدث نفسه على أنه أثناء إجراء تدقيق للكيانات الخاضعة للتنظيم وفقًا لقاعدة الأمن الحالية، وجد OCR أن "94 بالمائة منها فشلت في تنفيذ أنشطة إدارة المخاطر المناسبة الكافية للحد من المخاطر والثغرات إلى مستوى معقول ومناسب".

وهذا يعني أن أغلب هيئات تنظيم الطاقة لديها بعض العمل الذي يتعين عليها القيام به من أجل مواكبة متطلبات قواعد الأمن الحالية، ناهيك عن الجهد الإضافي الذي سوف يتطلبه مواكبة المتطلبات المحدثة. وهذا يعني أيضاً أن الأمر يتطلب تقييماً وتحليلاً أكثر فعالية للمخاطر في المستقبل.

نية تغيير القاعدة

إن الغرض من هذا التغيير المقترح في القواعد هو إزالة التطبيق غير المتسق لقاعدة الأمان عبر عناصر التحكم في الأمان. وبذلك، فإنه يزيل خيار "المعقولية والملاءمة" فيما يتصل بتكاليف ضوابط الأمان، إلى جانب مواصفات التنفيذ "القابلة للتوجيه" التي غالبًا ما يتم تفسيرها بشكل خاطئ على أنها "اختيارية". أصبحت هذه المواصفات الآن "مطلوبة" وإلزامية.

وعلاوة على ذلك، تفرض تغييرات القواعد ضرورة تقييم "فعالية" ضوابط الأمن في دعم مرونة الكيان الخاضع للتنظيم. ويشير مصطلح "المرونة" إلى قدرة الكيان على تحمل الأحداث السلبية والتعافي منها. وفي هذا الصدد، يبدو أن التغييرات تدرك ضعف الأنظمة الإلكترونية أمام هجمات رفض الخدمة وبرامج الفدية والحاجة إلى الحماية من هجمات "التوافر" هذه من خلال زيادة المرونة.

وهذا يعني الحاجة إلى تحسين استمرارية الأعمال بشكل كبير، والتعافي من الكوارث، وقدرات الاستجابة للحوادث الأمنية حتى تتمكن الموارد البشرية من العودة إلى العمل بسرعة بعد وقوع حادث أو هجوم. كما يعني ذلك الحاجة إلى مزيد من المرونة في هياكل التكنولوجيا التي تستخدم هياكل N+2 حيث يمكن استخدام نسخة ثانية أو ثالثة من التطبيق في أوقات الحاجة وتحويلها إلى الإنتاج بسرعة. كانت فترات التوقف الطويلة في مجال الرعاية الصحية التي أثرت على الصناعة مؤخرًا ناجمة إلى حد كبير عن نقاط فشل واحدة، أو نظام سجلات طبية إلكترونية مشفر (EMR)، أو نظام أساسي آخر بدون وضع الاستعداد الساخن أو الدافئ، أو فدية طرف ثالث مهم مثل Change Healthcare على سبيل المثال.

كيف ينبغي للمستشفيات الاستعداد للتغييرات المقترحة في قواعد الأمن بموجب قانون التأمين الصحي المحمول والمساءلة (HIPAA)

إن هذا التحديث الذي طال انتظاره لقاعدة أمن HIPAA سيساعد في معالجة الخلل المزمن بين عدد متزايد من الجهات الفاعلة في تهديدات الإنترنت في مجال الرعاية الصحية والدافعين ومقدمي الخدمات الذين يعانون من ضعف ضوابط الأمن. ومن المفترض أن يؤدي تغيير القاعدة إلى تحسينات كبيرة في تقييم المخاطر الأمنية وتحليلها والإصلاح السريع للثغرات الأمنية التي تم تحديدها. وعلى هذا النحو، من المفترض أن تعمل القواعد الجديدة على تقليل عدد الهجمات الإلكترونية الناجحة، وبالتالي المساعدة في ضمان توافر المستشفيات وشركاء التسليم الآخرين في أوقات الحاجة الطبية من قبل المرضى والمجتمعات التي يخدمونها. وعلاوة على ذلك، ستساعد هذه التغييرات في الحد من المخاوف المتزايدة بشأن سلامة المرضى، بما في ذلك زيادة معدلات الإصابة والوفيات عندما تتعرض المستشفيات للهجوم.

إن الحاجة إلى تحديد وتتبع إنترنت الأشياء والأجهزة الطبية المتصلة بالرعاية الصحية، ومعرفة مكان تواجد البيانات وانتقالها عبر الشبكات الطبية، وتقسيم الشبكات التشغيلية وشبكات تكنولوجيا المعلومات بموجب القواعد المقترحة، ستكون بمثابة عامل تغيير حقيقي للأمن. ومن المعروف أن هذا هو الحلقة الأضعف وغالبًا ما يشار إليه باسم "الباب الخلفي المفتوح لأمن الرعاية الصحية". لقد تغيرت الشبكات الطبية وتكنولوجيا المعلومات/إنترنت الأشياء بشكل كبير على مدار السنوات الأخيرة، كما تغير اعتمادنا على التقنيات لتشخيص ومراقبة وعلاج وإدارة المرضى في نظام الرعاية الصحية الرقمي إلى حد كبير. لذلك من الأهمية بمكان أن تواكب عناصر التحكم الأمنية لدينا هذه التغييرات وغيرها.

كيف تساعد Cylera في الامتثال لقانون HIPAA

إذا كنت بحاجة إلى مساعدة في الامتثال لقانون HIPAA، بما في ذلك الامتثال لتغييرات قواعد أمان HIPAA الجديدة بمجرد إصدار القاعدة النهائية، فيمكن أن تساعدك Cylera.

توفر Cylera الإمكانات التالية المتعلقة بالامتثال لقانون HIPAA.

اكتشاف الأصول والجرد

تكنولوجيا المعلومات المستمرة في الوقت الفعلي من Cylera، وإنترنت الأشياء للرعاية الصحية، والأجهزة الطبية المتصلة اكتشاف الأصول والمخزون تضمن القدرات اكتشاف وتصنيف جميع أجهزة تكنولوجيا المعلومات وإنترنت الأشياء الخاصة بالرعاية الصحية، بما في ذلك الأجهزة والأنظمة التي تحتوي على معلومات صحية محمية. ويضمن هذا أن تكون سجلات الأصول دقيقة ومحدثة وكاملة، مما يبسط عمليات التدقيق ويمنع أخطاء التدقيق وعقوبات الامتثال.

إدارة المخاطر والثغرات الأمنية

تراقب Cylera باستمرار أجهزة إنترنت الأشياء للرعاية الصحية نقاط الضعف والمخاطركما تقوم Cylera بإجراء تقييمات منتظمة للمخاطر لتحديد وتقييم المخاطر الأمنية المحتملة التي قد تتعرض لها المعلومات الصحية الشخصية الإلكترونية. ويتماشى هذا مع متطلبات قانون التأمين الصحي المحمول والمساءلة (HIPAA) لإدارة المخاطر المستمرة ويساعد المؤسسات على الحفاظ على موقف أمني قوي.

على سبيل المثال، فيما يتعلق بأمان ePHI، يمكن لـ Cylera تحديد ما إذا كان الجهاز يرسل ePHI باستخدام الطرق التالية:

• تحليل حركة مرور الشبكة: تقوم Cylera بفحص وتقييم حركة مرور الشبكة للأجهزة المتصلة. من خلال تحليل تدفق البيانات وخصائص الاتصال، يمكنها اكتشاف ما إذا كانت البيانات الحساسة، مثل ePHI، يتم نقلها، كما يمكنها رسم وتخطيط التدفقات المحتملة لـ PHI.
• ملف تعريف الجهاز: يقوم Cylera بتصنيف وتقييم الأجهزة المعروفة وغير المعروفة تلقائيًا دون الحاجة إلى إعادة التجهيز. يساعد هذا في تحديد الأجهزة التي تتعامل مع أو تنقل معلومات الصحة الشخصية الإلكترونية.
• الكشف السلبي في الوقت الحقيقي: تستخدم Cylera الكشف السلبي في الوقت الفعلي لتحديد نقاط الضعف ومؤشرات الاختراق (IOCs) التي قد تؤثر على الأجهزة التي تتعامل مع ePHI.

تقسيم الشبكة وحمايتها

تضمن عملية تقسيم الشبكة أن يتمكن فقط موظفو الرعاية الصحية المصرح لهم من الوصول إلى أقسام معينة حيث يتم تخزين أو نقل المعلومات الصحية المحمية إلكترونيًا (ePHI). وهذا يقلل من خطر حدوث خروقات للبيانات والوصول غير المصرح به إلى معلومات المريض الحساسة. تساعد Cylera في تمكين تقسيم الشبكة وحمايتها بالطرق التالية:

• تحديد ملف تعريف الجهاز والشبكة:تكتشف Cylera تلقائيًا كل جهاز متصل وتقوم بإنشاء ملف تعريف له، وتجمع معلومات مفصلة حول سماته وسلوكياته.
• إنشاء سياسة تقسيم الشبكة: استنادًا إلى الملفات التعريفية، تقوم Cylera بإنشاء سياسات تقسيم الشبكة التي تحدد كيفية اتصال الأجهزة داخل الشبكة. تم تصميم هذه السياسات لعزل البيانات الحساسة والأنظمة المهمة، مما يعزز الأمان.
• التكامل مع حلول جدار الحماية والتحكم في الوصول إلى الشبكة: في الأساس، يمكن لـ Cylera أن تنبه بشكل سلبي إلى الشذوذ الذي تم اكتشافه بواسطة منصة Cylera، مثل إذا كانت إحدى وسائط التصوير ترسل البيانات فجأة إلى كيان خارجي. يمكن أيضًا إعادة توجيه سياسات تقسيم الشبكة التي تولدها Cylera إلى حلول جدار الحماية الشائعة والتحكم في الوصول إلى الشبكة (NAC) عبر التكاملاتيمكن لهذه الحلول بعد ذلك استخدام السياسات من Cylera لتسهيل التنفيذ النشط وحظر الأجهزة التي بها تشوهات سلوكية.
• المراقبة والتعديل المستمر:تراقب Cylera الشبكة بشكل مستمر وتعدل سياسات تقسيم الشبكة التي تولدها حسب الحاجة لمعالجة التهديدات أو التغييرات الجديدة في بيئة الشبكة.

تقارير التدقيق والامتثال

تقوم Cylera بتوحيد جميع معلومات الثغرات والتهديدات والحلول في تنسيق جاهز للتدقيق. وهذا يجعل من الأسهل على مؤسسات الرعاية الصحية جمع وتقديم الالتزام الأدلة أثناء عمليات تدقيق HIPAA

الخطوات التالية

هنا في Cylera، نساعد مؤسسات تقديم الرعاية الصحية على تأمين تكنولوجيا المعلومات الخاصة بالرعاية الصحية وإنترنت الأشياء وأصول الأجهزة الطبية المتصلة والامتثال لمتطلبات HIPAA باستخدام تقنيات مبتكرة والقدرات المعتمدة على التعلم الآلي خلال معظم العقد الماضي.

تقدم سيليرا خدماتها عملاء الرعاية الصحية في جميع أنحاء أمريكا الشمالية وأوروبا والشرق الأوسط وأفريقيا. تواصل معناوسنكون سعداء بجدولة مكالمة استكشافية معك لمناقشة كيف يمكننا مساعدتك في تحديات الامتثال لقانون HIPAA.