ข้อแนะนำสำหรับ HIPAA ฉบับใหม่ เพิ่มเนื้อหาเกี่ยวกับ Ransomware

กระทรวงบริการด้านสุขภาพและมนุษย์แห่งสหรัฐฯ (HHS) ออกข้อแนะนำ HIPAA ฉบับใหม่ สำหรับหน่วยงานและองค์การทางด้านสาธารณสุข ซึ่งมีการระบุเนื้อหาเกี่ยวกับ Ransomware เน้นย้ำความสำคัญของการเรียนรู้ด้านความมั่นคงปลอดภัย และความสำคัญของการสำรองข้อมูล

ttt_compliance_on_tablet-garagestock
Credit: garagestock/ShutterStock

หลังจากที่ Ransomware แพร่ระบาดไปทั่วโลก โดยเฉพาะโรงพยาบาลและหน่วยงานด้านสาธารณสุข ทำให้ HHS ออกข้อแนะนำ Health Insurance Portability and Accountability Act (HIPAA) ฉบับใหม่ ซึ่งเพิ่มเนื้อหาเกี่ยวกับการรับมือกับภัยคุกคามรวมไปถึง Ransomware ไม่ว่าจะเป็นการป้องกัน ตรวจจับ กักกัน หรือตอบสนอง โดยมีใจความสำคัญ ดังนี้

  • ทำการวิเคราะห์ความเสี่ยงเพื่อระบุภัยคุกคามและช่องโหว่บนข้อมูลสุขภาพที่ได้รับการคุ้มครองอิเล็กทรอนิกส์ (Electronic Protected Health Information: ePHI) และพัฒนาแผนสำหรับรับมือกับความเสี่ยงที่อาจเกิดขึ้นเหล่านั้น
  • ออกแบบและพัฒนาวิธีการในการคุ้มครองระบบจากมัลแวร์ประเภทต่างๆ รวมไปถึง Ransomware
  • อบรมพนักงานให้สามารถตรวจจับมัลแวร์และรายงานผลการตรวจจับแก่ผู้ที่เกี่ยวข้องได้
  • จำกัดการเข้าถึง ePHI เฉพาะบุคคลหรือซอฟต์แวร์ที่มีความจำเป็นเท่านั้น
  • จัดเตรียมแผนฉุกเฉิน เช่น Disaster Recovery และมีการวางแผนสำรองข้อมูลอย่างสม่ำเสมอ รวมทั้งมีการทดสอบการฟื้นฟูระบบ

นอกจากนี้ ยังมีการระบุเนื้อหาเกี่ยวกับการรับมือกับ Ransomware โดยเฉพาะ ได้แก่

  • พนักงานและผู้ที่เกี่ยวข้องต้องรู้จักและเข้าใจการทำงานของ Ransomware
  • ทราบถึงสัญญาณว่าระบบเริ่มถูก Ransomware โจมตี
  • กำหนดแผน Incident Response ด้านความมั่นคงปลอดภัยสำหรับรับมือกับ Ransomware
  • มีแผนรับมือหลังจากที่ถูก Ransomware โจมตี (ไฟล์ข้อมูลถูกเข้ารหัสไปแล้ว)
  • จัดทำแผนฉุกเฉินและสำรองข้อมูลอย่างสม่ำเสมอ

ข้อแนะนำ HIPAA ฉบับใหม่นี้ยังได้จัดให้การโจมตีของ Ransomware ก่อให้เกิด “การเจาะระบบ (Breach)” ข้อมูลสาธารณสุข และอยู่ภายใต้กฏ HIPAA Breach Notification Rule ซึ่งระบุว่า ถ้าหน่วยงานหรือองค์กรประสบกับการถูกเจาะระบบ หน่วยงานหรือองค์กรนั้นๆ จะต้องเปิดเผยข้อมูลการถูกเจาะให้แก่ผู้ที่เกี่ยวข้องรับทราบ ซึ่งก็คือ HHS และในบางกรณี อาจรวมไปถึงสื่อด้วยเช่นกัน เว้นแต่จะสามารถแสดงให้เห็นได้ว่า มี “ความน่าจะเป็นต่ำ” ที่ข้อมูลจะถูกแฮ็ค

รายละเอียดเพิ่มเติม: http://www.hhs.gov/blog/2016/07/11/your-money-or-your-phi.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5G Private Network คืออะไร? รู้จักกับทางเลือกใหม่ในการเชื่อมต่อเครือข่ายสำหรับธุรกิจแห่งอนาคต

ที่ผ่านมาเหล่า IT Manager, Network Engineer และผู้ดูแลระบบ IT ในองค์กรอาจจะคุ้นเคยกับภาพของการออกแบบระบบเครือข่ายภายในองค์กรด้วย LAN และ Wireless LAN เป็นหลัก แต่การมาของ 5G …

พบช่องโหว่ความรุนแรงสูงใหม่บน Cisco IP Phone

ทีม Cisco Product Security Incident Response Team (PSIRT) ตรวจพบช่องโหว่ความรุนแรงสูงใหม่บน Cisco IP Phone