ข้อแนะนำสำหรับ HIPAA ฉบับใหม่ เพิ่มเนื้อหาเกี่ยวกับ Ransomware

กระทรวงบริการด้านสุขภาพและมนุษย์แห่งสหรัฐฯ (HHS) ออกข้อแนะนำ HIPAA ฉบับใหม่ สำหรับหน่วยงานและองค์การทางด้านสาธารณสุข ซึ่งมีการระบุเนื้อหาเกี่ยวกับ Ransomware เน้นย้ำความสำคัญของการเรียนรู้ด้านความมั่นคงปลอดภัย และความสำคัญของการสำรองข้อมูล

ttt_compliance_on_tablet-garagestock
Credit: garagestock/ShutterStock

หลังจากที่ Ransomware แพร่ระบาดไปทั่วโลก โดยเฉพาะโรงพยาบาลและหน่วยงานด้านสาธารณสุข ทำให้ HHS ออกข้อแนะนำ Health Insurance Portability and Accountability Act (HIPAA) ฉบับใหม่ ซึ่งเพิ่มเนื้อหาเกี่ยวกับการรับมือกับภัยคุกคามรวมไปถึง Ransomware ไม่ว่าจะเป็นการป้องกัน ตรวจจับ กักกัน หรือตอบสนอง โดยมีใจความสำคัญ ดังนี้

  • ทำการวิเคราะห์ความเสี่ยงเพื่อระบุภัยคุกคามและช่องโหว่บนข้อมูลสุขภาพที่ได้รับการคุ้มครองอิเล็กทรอนิกส์ (Electronic Protected Health Information: ePHI) และพัฒนาแผนสำหรับรับมือกับความเสี่ยงที่อาจเกิดขึ้นเหล่านั้น
  • ออกแบบและพัฒนาวิธีการในการคุ้มครองระบบจากมัลแวร์ประเภทต่างๆ รวมไปถึง Ransomware
  • อบรมพนักงานให้สามารถตรวจจับมัลแวร์และรายงานผลการตรวจจับแก่ผู้ที่เกี่ยวข้องได้
  • จำกัดการเข้าถึง ePHI เฉพาะบุคคลหรือซอฟต์แวร์ที่มีความจำเป็นเท่านั้น
  • จัดเตรียมแผนฉุกเฉิน เช่น Disaster Recovery และมีการวางแผนสำรองข้อมูลอย่างสม่ำเสมอ รวมทั้งมีการทดสอบการฟื้นฟูระบบ

นอกจากนี้ ยังมีการระบุเนื้อหาเกี่ยวกับการรับมือกับ Ransomware โดยเฉพาะ ได้แก่

  • พนักงานและผู้ที่เกี่ยวข้องต้องรู้จักและเข้าใจการทำงานของ Ransomware
  • ทราบถึงสัญญาณว่าระบบเริ่มถูก Ransomware โจมตี
  • กำหนดแผน Incident Response ด้านความมั่นคงปลอดภัยสำหรับรับมือกับ Ransomware
  • มีแผนรับมือหลังจากที่ถูก Ransomware โจมตี (ไฟล์ข้อมูลถูกเข้ารหัสไปแล้ว)
  • จัดทำแผนฉุกเฉินและสำรองข้อมูลอย่างสม่ำเสมอ

ข้อแนะนำ HIPAA ฉบับใหม่นี้ยังได้จัดให้การโจมตีของ Ransomware ก่อให้เกิด “การเจาะระบบ (Breach)” ข้อมูลสาธารณสุข และอยู่ภายใต้กฏ HIPAA Breach Notification Rule ซึ่งระบุว่า ถ้าหน่วยงานหรือองค์กรประสบกับการถูกเจาะระบบ หน่วยงานหรือองค์กรนั้นๆ จะต้องเปิดเผยข้อมูลการถูกเจาะให้แก่ผู้ที่เกี่ยวข้องรับทราบ ซึ่งก็คือ HHS และในบางกรณี อาจรวมไปถึงสื่อด้วยเช่นกัน เว้นแต่จะสามารถแสดงให้เห็นได้ว่า มี “ความน่าจะเป็นต่ำ” ที่ข้อมูลจะถูกแฮ็ค

รายละเอียดเพิ่มเติม: http://www.hhs.gov/blog/2016/07/11/your-money-or-your-phi.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gartner ออก Magic Quadrant ด้าน SD-WAN ผล VMware, Silver Peak ครองผู้นำ

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน WAN Edge Infrastructure หรือที่รู้จักกันในนามโซลูชัน SD-WAN ฉบับล่าสุดประจำปี 2019 ผลปรากฏว่า VMware …

รายงานจาก Microsoft ชี้ตรวจพบ Malware, Ransomware และ Cryptominer ลดลงในปี 2019

ถ้าถามว่าใครจะมีข้อมูลของผู้ใช้งาน Windows มากที่สุด คงเถียงไม่ได้ว่าน่าจะเป็น Microsoft เนื่องจากเป็นเจ้าของ OS ซึ่งจากรายงานของปีนี้พบว่าภัยคุกคามประเภท Malware, Ransomware และ Cryptominer น้อยลงกว่ามีก่อน