ข้อแนะนำสำหรับ HIPAA ฉบับใหม่ เพิ่มเนื้อหาเกี่ยวกับ Ransomware

กระทรวงบริการด้านสุขภาพและมนุษย์แห่งสหรัฐฯ (HHS) ออกข้อแนะนำ HIPAA ฉบับใหม่ สำหรับหน่วยงานและองค์การทางด้านสาธารณสุข ซึ่งมีการระบุเนื้อหาเกี่ยวกับ Ransomware เน้นย้ำความสำคัญของการเรียนรู้ด้านความมั่นคงปลอดภัย และความสำคัญของการสำรองข้อมูล

ttt_compliance_on_tablet-garagestock
Credit: garagestock/ShutterStock

หลังจากที่ Ransomware แพร่ระบาดไปทั่วโลก โดยเฉพาะโรงพยาบาลและหน่วยงานด้านสาธารณสุข ทำให้ HHS ออกข้อแนะนำ Health Insurance Portability and Accountability Act (HIPAA) ฉบับใหม่ ซึ่งเพิ่มเนื้อหาเกี่ยวกับการรับมือกับภัยคุกคามรวมไปถึง Ransomware ไม่ว่าจะเป็นการป้องกัน ตรวจจับ กักกัน หรือตอบสนอง โดยมีใจความสำคัญ ดังนี้

  • ทำการวิเคราะห์ความเสี่ยงเพื่อระบุภัยคุกคามและช่องโหว่บนข้อมูลสุขภาพที่ได้รับการคุ้มครองอิเล็กทรอนิกส์ (Electronic Protected Health Information: ePHI) และพัฒนาแผนสำหรับรับมือกับความเสี่ยงที่อาจเกิดขึ้นเหล่านั้น
  • ออกแบบและพัฒนาวิธีการในการคุ้มครองระบบจากมัลแวร์ประเภทต่างๆ รวมไปถึง Ransomware
  • อบรมพนักงานให้สามารถตรวจจับมัลแวร์และรายงานผลการตรวจจับแก่ผู้ที่เกี่ยวข้องได้
  • จำกัดการเข้าถึง ePHI เฉพาะบุคคลหรือซอฟต์แวร์ที่มีความจำเป็นเท่านั้น
  • จัดเตรียมแผนฉุกเฉิน เช่น Disaster Recovery และมีการวางแผนสำรองข้อมูลอย่างสม่ำเสมอ รวมทั้งมีการทดสอบการฟื้นฟูระบบ

นอกจากนี้ ยังมีการระบุเนื้อหาเกี่ยวกับการรับมือกับ Ransomware โดยเฉพาะ ได้แก่

  • พนักงานและผู้ที่เกี่ยวข้องต้องรู้จักและเข้าใจการทำงานของ Ransomware
  • ทราบถึงสัญญาณว่าระบบเริ่มถูก Ransomware โจมตี
  • กำหนดแผน Incident Response ด้านความมั่นคงปลอดภัยสำหรับรับมือกับ Ransomware
  • มีแผนรับมือหลังจากที่ถูก Ransomware โจมตี (ไฟล์ข้อมูลถูกเข้ารหัสไปแล้ว)
  • จัดทำแผนฉุกเฉินและสำรองข้อมูลอย่างสม่ำเสมอ

ข้อแนะนำ HIPAA ฉบับใหม่นี้ยังได้จัดให้การโจมตีของ Ransomware ก่อให้เกิด “การเจาะระบบ (Breach)” ข้อมูลสาธารณสุข และอยู่ภายใต้กฏ HIPAA Breach Notification Rule ซึ่งระบุว่า ถ้าหน่วยงานหรือองค์กรประสบกับการถูกเจาะระบบ หน่วยงานหรือองค์กรนั้นๆ จะต้องเปิดเผยข้อมูลการถูกเจาะให้แก่ผู้ที่เกี่ยวข้องรับทราบ ซึ่งก็คือ HHS และในบางกรณี อาจรวมไปถึงสื่อด้วยเช่นกัน เว้นแต่จะสามารถแสดงให้เห็นได้ว่า มี “ความน่าจะเป็นต่ำ” ที่ข้อมูลจะถูกแฮ็ค

รายละเอียดเพิ่มเติม: http://www.hhs.gov/blog/2016/07/11/your-money-or-your-phi.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: เคล็ดลับความสำเร็จในการขึ้นระบบ ERP สำหรับอุตสาหกรรมการผลิต โดย FMS

FMS ขอเรียนเชิญเจ้าของกิจการ, ผู้บริหารธุรกิจ และผู้จัดการ IT ในอุตสาหกรรมโรงงานและการผลิต, ค้าปลีก รวมถึง Logistics เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "เคล็ดลับความสำเร็จในการขึ้นระบบ ERP สำหรับอุตสาหกรรมการผลิต โดย FMS" เพื่อรับฟังประสบการณ์การวางระบบ ERP ให้กับเหล่าธุรกิจอุตสาหกรรมการผลิตที่มีมายาวนานกว่า 25 ปีของ FMS ในวันพฤหัสบดีที่ 25 กรกฎาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

เสริม Security ให้ระบบเครือข่ายด้วย AI กับ Aruba IntroSpect

หนึ่งในเทรนด์หลักทางด้าน Network ในระยะนี้ก็คงหนีไม่พ้นเรื่องของการประยุกต์นำศาสตร์ทางด้าน Artificial Intelligence หรือ AI มาใช้ในแง่มุมต่างๆ ภายในระบบเครือข่าย Aruba Networks ในฐานะของผู้นำเทคโนโลยีเครือข่ายสำหรับองค์กรเองก็ไม่พลาดที่จะขึ้นเป็นผู้นำเทรนด์นี้ ด้วยการนำ AI เข้ามาใช้เพื่อเสริม Security ให้กับระบบเครือข่ายของธุรกิจองค์กรให้รัดกุมยิ่งขึ้น ภายใต้โซลูชัน Aruba IntroSpect ที่วิเคราะห์ข้อมูลจากทั้ง Traffic ในระบบเครือข่ายและผู้ใช้งานไปพร้อมๆ กัน