מהו תקן HIPAA וכיצד עומדים בו כשמדובר בענן ציבורי?

HIPAA או Health Insurance Portability and Accountability Act, הן תקנות לשימוש בנתונים דיגיטליים שמטרתן לפקח על השימוש במידע אישי על ידי כל הנוגעים בו ולמנוע דליפה של מידע זה אל גורמים לא מורשים. איך עומדים בתקן?

shutterstock protect

הפוסט נכתב על ידי רן רוטשילד, מנהל לקוחות בכיר, CloudZone ,מטריקס.

מאז 2006 אנו עדים לקצב לא יאומן של חדשנות אשר מובל על ידי העננים הציבוריים. מחשוב ענן הינה תשתית טכנולוגית המאפשרת למשתמשים לצרוך כוח מחשוב כשירות. בשנים האחרונות צריכת ה-On Demand הורחבה למגוון שירותים נוספים כגון מערכות הפעלה, storage, מסדי נתונים שונים ועוד יכולות נוספות. בענן הציבורי, התשתיות הפיזיות והווירטואליות נמצאות מחוץ לארגון ומשרתות מספר רב של משתמשים מחברות ומארגונים שונים. ההתקדמות שלהם משמשת כמנוע טכנולוגי מרכזי האחראי לצמיחה ולהעשרת יכולות אחרות על הפלטפורמות שלהם. מהפכה טכנולוגית זו אחראית להסרת חסמים שעד לאחרונה מנעו מחברות להגר או לבנות בענן סביבות פעולה תואמות HIPAA .HIPAA או Health Insurance Portability and Accountability Act, הן תקנות לשימוש בנתונים דיגיטליים, מטרתן לפקח על השימוש במידע רפואי אישי על ידי כל הנוגעים בו ולמנוע דליפה של מידע זה אל גורמים לא מורשים. בעבר, חברות ובעיקר ארגונים גדולים ו-SMB נמנעו מפניה לאפיק זה, בעיקר משיקולי אבטחה ורגולציה. טענה זו כמעט אינה תקפה כיום. אנו רואים כי חברות בכל הגדלים ומכל התעשיות מאמצות את הפלטפורמה החדשה בזכות ובעבור אבטחת המידע ולא למרות האבטחה.

עמימות: האתגר של HIPAA

עמידה ב-HIPAA אכן מעלה מספר אתגרים עבור חברות. עם זאת, לאחר מספר שנים של עבודה על סביבות תואמות HIPAA וייעוץ למספר חברות בנושא רגולציה ייחודית זו, למדתי כי ישנם שלושה נושאים משותפים שיוצרים את האתגרים:

1. מחסור בידע לגבי התקינה עצמה.
2. עמידה בתקינת HIPAA היא בהצהרה עצמית.
3. ישנם תחומים רבים בהם התקינה משאירה שיקול דעת לגוף הנבדק ולשותפים עסקיים.

חברות מעדיפות הוראות ברורות לגבי כיצד הן צריכות להטמיע רגולציה. למרות שהתקינה מגדירה חלק מדרישות החובה, על פי רוב, קבלת ההחלטות נותרת לביצוע ע״י הגוף עצמו או אצל השותפים עסקיים.
חברות מבוססות ענן נתונות לאותם חוקים ורגולציה של חברות מבוססות שרתים מקומיים, ואמורות לפעול על פי אותם נהלים. גם המחלקה לשירותי בריאות (HHS) וגם המשרד לזכויות אדם (OCR) לא פסקו נגד שימוש בשירותי ענן כפלטפורמה להעברה, אחסון, עיבוד או ניהול רשומות של מידע בריאותי מסווג (PHI). הם הגדירו את הנושאים הדורשים טיפול, וגלגלו את הדברים לפתח הגופים המבוקרים והשותפים העסקיים עצמם להחליט מה, כיצד והיכן להטמיע. בעוד חברות יוצאות למסע הסמכת ה-HIPAA הן צריכות לבחון מקרוב את התקינה עצמה, את סביבות ה-IT שלהן, את הנהלים והתהליכים הפנימיים ולא פחות חשוב – את אלה של ספקי הענן שלהן.

עבור כל פסקה ברגולציה יש לשקול אל מול הדרך בה חברה מטמיעה ומטפלת בה. אחד מהדברים החשובים לציון לגבי HIPAA הוא ההבדל שבין “נדרש” (Required) ל”התייחסות” (Addressable) ניתן למצוא לכך סימוכין רשמיים (מסמך ‘הפשטת ניהול HIPAA’ ממרץ 2013 – סעיף 164.306 סטנדרטים לאבטחה, חוקים כלליים (d) (1)).

HIPAA הלכה למעשה

HIPAA משאירה לחברות מרחב תמרון ואת האחריות להגדיר עבור עצמן כיצד, כמה, והיכן להטמיע, על בסיס גודלן, המורכבות היחסית, היכולות, התשתית הטכנולוגית, יכולות אבטחת החומרה והתוכנה, עלויות, ההסתברות ופוטנציאל הסיכון הקריטי. מדובר במונחים בלתי מוחשיים וסובייקטיביים, שלא תמיד קל לחשב.

כך, לדוגמה HIPAA מבקשת כי גוף מבוקר או שותף עסקי, יטפל בנושא הצפנה/ פיענוח. הרגולטור אינו כופה על חברות להשתמש בפתרונות הצפנה, אך חייבת להתבצע התייחסות. אם החברה בוחרת שלא להטמיע יכולת זו, היא חייבת להסביר מדוע, ולבחון מחדש את ההחלטה ברמה תקופתית. עם זאת, חברות צריכות גם לבחון סעיף נוסף, אשר מציין כי אפילו אם מידע מוגן דלף בטעות לגורם בלתי מאושר, שאין לו היכולת לגשת למידע הממשי, אין להסתכל על כך כפריצה ועל כן חובת הדיווח משתנה.

ישנה הבחנה בין חברות קטנות אשר מעבדות את הנתונים שלהן על גבי תשתית IT מקומית, לבין ארגונים גדולים המעבדים את הנתונים בענן ציבורי. שתיהן כפופות לאותה רגולציה, אך היכולות שלהן שונות והסיכונים להן הן חשופות, שונים משמעותית האחד מהשני. לכן, דרך המימוש להסמכת HIPAA יכולה להיות שונה מאוד מחברה לחברה.

לא פשוט – אך אפשרי

ניתן להשיג עמידה בתקני HIPAA בענן באמצעות יצירה והפעלה של נהלים ותהליכים פנימיים, תכנון סביבות IT בצורה נכונה ולא מתפשרת, לצד שמירה על עדכונים ברגולציה. אין בכך כדי לומר כי השגת עמידה ברגולציית ה-HIPAA היא פשוטה, אך בניגוד לתפיסות הגורסות כי מדובר במהלך בלתי אפשרי בעליל, ניתן לקבוע באופן מוחלט כי בעזרת תכנון ואסטרטגיה נכונים ה-HIPAA הוא בהחלט בר השגה.

protect information via shutterstock.

 

הכתבה בחסות CloudZone

CloudZone, יחידת הענן של מטריקס המתמחה בפתרונות ובשירותי AWS, הינה פרמייר פרטנר – שותף ברמה הגבוהה ביותר, של AWS העולמית.
עם למעלה מ-5 שנות ניסיון ב-AWS, היחידה מספקת ללקוחותיה חבילת שירות מלאה הכוללת: ייעוץ, ארכיטקטורה, של התשתיות ושירותים מנוהלים. CloudZone מסייעת ללקוחותיה למנף את הכלים הקיימים ב- AWS כך שאלו יוכלו להתרכז בעסקי הליבה בארגון. היחידה מציעה מגוון רחב של שירותים למקסום ביצועים תוך שמירה על עלויות נמוכות. שירותי CloudZone מאפשרים אופטימיזציה של יכולת ההתרחבות, אספקת מוצרים ללקוחות החברה עם איכות ומהירות יוצאת דופן, ביטול זמני ההשבתה והגברת הפרודוקטיביות. ג'ון ברייס, חטיבת ההדרכה של מטריקס העובדת בצמוד עם CloudZone, הינה מרכז הדרכה רשמי של AWS בישראל.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

3 תגובות על "מהו תקן HIPAA וכיצד עומדים בו כשמדובר בענן ציבורי?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Arthur Schmunk
Guest

שלום אוריאל,
ישנם מס׳ עננים ציבוריים התומכים בתקינה זו. אם זאת, יש לזכור את נושא האחריות המשותפת המתקיימת בין ספק הענן לבין הגופים המבוקרים והשותפים. התייחסות לענן תומך זה רק חלק קטן מהליך בחירת ענן ציבורי כפלטפורמה ורוב האחריות מותלת על אופן בניית הסביבה.
הסתמכות על ספק הענן צריכה להתמקד בנהלים הפנימיים שהוא מצהיר עליהם. לדוגמא: נוהל הוצאת דיסקים פיזיים משירות, נוהל re-provisioning של שטח איפסון משותף, נהלי אבטחה של ה – data centers עצמם, וכו׳.
כיום, שלושת העננים הציבוריים המובילים: AWS, Google and Azure מספקים מסמכים התומכים ב HIPAA.
אתה צודק שגם סופטלייר של IBM מספק מסמכים תומכי רגולציה.

דובי
Guest

היי ותודה! מה לגבי שירותי SAAS שאומרים שהם תומכים ב hipaa – האם אפשר להסתמך עליהם? כדוגמת truevault.com ו catalyze.io/ ? תודה!

רן
Guest

כל שירות חייב להבדק. צריך להבין איך הם עומדים בתקינה.
מקווה שזה עוזר. במידה ויש צורך בעוד מידע, ניתן ליצור קשר: ranro@cloudzone.io

wpDiscuz

תגיות לכתבה: