ข้อแนะนำสำหรับ HIPAA ฉบับใหม่ เพิ่มเนื้อหาเกี่ยวกับ Ransomware

กระทรวงบริการด้านสุขภาพและมนุษย์แห่งสหรัฐฯ (HHS) ออกข้อแนะนำ HIPAA ฉบับใหม่ สำหรับหน่วยงานและองค์การทางด้านสาธารณสุข ซึ่งมีการระบุเนื้อหาเกี่ยวกับ Ransomware เน้นย้ำความสำคัญของการเรียนรู้ด้านความมั่นคงปลอดภัย และความสำคัญของการสำรองข้อมูล

ttt_compliance_on_tablet-garagestock
Credit: garagestock/ShutterStock

หลังจากที่ Ransomware แพร่ระบาดไปทั่วโลก โดยเฉพาะโรงพยาบาลและหน่วยงานด้านสาธารณสุข ทำให้ HHS ออกข้อแนะนำ Health Insurance Portability and Accountability Act (HIPAA) ฉบับใหม่ ซึ่งเพิ่มเนื้อหาเกี่ยวกับการรับมือกับภัยคุกคามรวมไปถึง Ransomware ไม่ว่าจะเป็นการป้องกัน ตรวจจับ กักกัน หรือตอบสนอง โดยมีใจความสำคัญ ดังนี้

  • ทำการวิเคราะห์ความเสี่ยงเพื่อระบุภัยคุกคามและช่องโหว่บนข้อมูลสุขภาพที่ได้รับการคุ้มครองอิเล็กทรอนิกส์ (Electronic Protected Health Information: ePHI) และพัฒนาแผนสำหรับรับมือกับความเสี่ยงที่อาจเกิดขึ้นเหล่านั้น
  • ออกแบบและพัฒนาวิธีการในการคุ้มครองระบบจากมัลแวร์ประเภทต่างๆ รวมไปถึง Ransomware
  • อบรมพนักงานให้สามารถตรวจจับมัลแวร์และรายงานผลการตรวจจับแก่ผู้ที่เกี่ยวข้องได้
  • จำกัดการเข้าถึง ePHI เฉพาะบุคคลหรือซอฟต์แวร์ที่มีความจำเป็นเท่านั้น
  • จัดเตรียมแผนฉุกเฉิน เช่น Disaster Recovery และมีการวางแผนสำรองข้อมูลอย่างสม่ำเสมอ รวมทั้งมีการทดสอบการฟื้นฟูระบบ

นอกจากนี้ ยังมีการระบุเนื้อหาเกี่ยวกับการรับมือกับ Ransomware โดยเฉพาะ ได้แก่

  • พนักงานและผู้ที่เกี่ยวข้องต้องรู้จักและเข้าใจการทำงานของ Ransomware
  • ทราบถึงสัญญาณว่าระบบเริ่มถูก Ransomware โจมตี
  • กำหนดแผน Incident Response ด้านความมั่นคงปลอดภัยสำหรับรับมือกับ Ransomware
  • มีแผนรับมือหลังจากที่ถูก Ransomware โจมตี (ไฟล์ข้อมูลถูกเข้ารหัสไปแล้ว)
  • จัดทำแผนฉุกเฉินและสำรองข้อมูลอย่างสม่ำเสมอ

ข้อแนะนำ HIPAA ฉบับใหม่นี้ยังได้จัดให้การโจมตีของ Ransomware ก่อให้เกิด “การเจาะระบบ (Breach)” ข้อมูลสาธารณสุข และอยู่ภายใต้กฏ HIPAA Breach Notification Rule ซึ่งระบุว่า ถ้าหน่วยงานหรือองค์กรประสบกับการถูกเจาะระบบ หน่วยงานหรือองค์กรนั้นๆ จะต้องเปิดเผยข้อมูลการถูกเจาะให้แก่ผู้ที่เกี่ยวข้องรับทราบ ซึ่งก็คือ HHS และในบางกรณี อาจรวมไปถึงสื่อด้วยเช่นกัน เว้นแต่จะสามารถแสดงให้เห็นได้ว่า มี “ความน่าจะเป็นต่ำ” ที่ข้อมูลจะถูกแฮ็ค

รายละเอียดเพิ่มเติม: http://www.hhs.gov/blog/2016/07/11/your-money-or-your-phi.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] งานแถลงข่าวกลุ่มย่อย ในหัวข้อ “The Culture of Innovation” การสร้างวัฒนธรรมของสตาร์ทอัพ กุญแจสู่การสร้างวัฒนธรรมด้านนวัตกรรม ของ อะเมซอน เว็บ เซอร์วิสเซส (ประเทศไทย)

วันที่ 28 มิถุนายน 2565 : Amazon เป็นแพลตฟอร์มที่สร้างสตาร์ทอัพที่ประสบความสำเร็จระดับโลกมากมาย เช่น Netflix, Stripe และ Airbnb ไปจนถึงสตาร์ทอัพในภูมิภาคเอเชียแปซิฟิค ไม่ว่าจะเป็น Grab, …

Tech Refresh & Data Migration ลดต้นทุน Tech Operation ผลักดันสู่ความท้าทายใหม่ในอนาคต | Tangerine x SVI

บริษัท แทนเจอรีน จำกัด เป็นผู้เชี่ยวชาญในการให้คำปรึกษาและบริการด้านไอทีครอบคลุมทั้งระบบธุรกิจ ตั้งแต่ Infrastructure, Data Center, Network, Security และ ERP ให้มีประสิทธิภาพยิ่งขึ้น อีกทั้งได้รับความไว้วางใจจากบริษัท เอสวีไอ …