بخش بهداشت و درمان یکی از اهداف اصلی مجرمان سایبری است که به دنبال سرقت دادههای حساس و اخاذی هستند. کلید مقابله با این حملات پرهزینه، درک این نکته است که هویت اکنون به مرز جدید امنیتی تبدیل شده است. با پیادهسازی یک مدیریت هویت و دسترسی (IAM) قوی، سازمانهای بهداشتی میتوانند به طور قابل توجهی امنیت خود را بهبود بخشیده و مقاومت سایبری خود را تقویت کنند.
این مقاله به بررسی نقش IAM در بخش بهداشت میپردازد و مهمترین شکافهای موجود در این زمینه را تشریح میکند. سپس نشان میدهد که چگونه IAM میتواند به یک سازمان کمک کند تا با قوانین و استانداردهای زیر مطابقت داشته باشد:
- چارچوب امنیت سایبری موسسه ملی استاندارد و فناوری (NIST)
- مقررات عمومی حفاظت از دادهها (GDPR)
- قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA)
- قانون حفظ حریم خصوصی مصرفکننده کالیفرنیا (CCPA)
نقش IAM در حوزه سلامت
یک برنامه مدیریت هویت و دسترسی (IAM) شامل مجموعهای از سیاستها، فرآیندها و فناوریها برای مدیریت کاربران و کنترل دسترسی به دادهها، برنامهها و سایر منابع فناوری اطلاعات است. این برنامهها معمولاً از یک دایرکتوری برای تأیید هویت کاربران و اعطای مجوز دسترسی به منابع خاص استفاده میکنند که اغلب بر اساس عضویت در گروهها انجام میشود و نه مجوزهای دقیقتر.
علاوه بر این، سیستمهای IAM میتوانند فعالیتهای کاربران را ثبت کرده و با ادغام با سایر ابزارهای امنیتی، رفتارهای مشکوک یا نقض سیاستها را شناسایی کنند.
فایده IAM در حوزه سلامت
سیستم مدیریت هویت و دسترسی (IAM) در حوزه سلامت به دو دلیل اساسی حیاتی است:
اول اینکه: این سیستم به سازمانها کمک میکند تا با رعایت مقرراتی مانند HIPAA و GDPR هویتهای دیجیتالی را مدیریت کرده، کنترلهای دسترسی را اجرا و ردگیریهای مورد نیاز را حفظ کنند.
دوم اینکه: IAM امنیت دادههای بیماران را افزایش میدهد. دسترسی غیرمجاز به پروندههای الکترونیکی سلامت میتواند پیامدهای سنگینی به همراه داشته باشد، از جمله جریمههای سنگین و خسارت به اعتبار سازمانهای درمانی و نیز سرقت هویت و سایر عواقب جدی برای افراد. IAM به سازمانها کمک میکند تا از دسترسی نادرست به دادههای حساس بهداشتی، چه توسط مهاجمان خارجی و چه تهدیدات داخلی از جمله کارمندانی که به طور نادرست از دسترسی قانونی خود سوء استفاده میکنند، جلوگیری کنند.
چگونه IAM به کاهش نقاط ضعف امنیتی رایج کمک میکند؟
سازمانهای درمانی به دلیل ذخیره حجم بالایی از دادههای حساس و نیاز به بازیابی سریع از حوادث امنیتی، هدف اصلی مجرمان سایبری هستند. حتی ممکن است مجبور به پرداخت باج برای دریافت کلید رمزگشایی شوند. در اینجا به مهمترین نقاط ضعف امنیتی که مهاجمان از آنها سوءاستفاده میکنند و چگونگی کمک IAM به کاهش این خطرات اشاره شده است:
-
دسترسی بیش از حد کاربران
در سازمانهای بهداشتی، به دلیل تغییرات مداوم کاربران و جابجاییهای شغلی، مدیریت مجوزهای دسترسی چالشبرانگیز است. این امر ممکن است منجر به اعطای مجوزهای اضافی به کاربران یا حذف نشدن بهموقع حسابهای کاربری بیاستفاده شود، که در نهایت خطر دسترسیهای غیرمجاز را افزایش میدهد.
برای کاهش این خطر، سازمانهای بهداشتی میتوانند از کنترل دسترسی مبتنی بر نقش (RBAC) استفاده کنند. در این روش، بر اساس نقشهای شغلی، مجوزهای دسترسی تعیین میشود. بنابراین، بهروزرسانی یا حذف دسترسی کاربران بهسادگی از طریق تخصیص یا حذف نقشهای مناسب انجام میشود، بدون اینکه نیاز به تنظیم دستی تکتک مجوزها باشد که اغلب خطاهای زیادی به همراه دارد.
-
سیاستهای ضعیف رمز عبور
بسیاری از سازمانهای بهداشتی فقط حداقل استانداردهای رمز عبور را که توسط HIPAA تعریف شدهاند رعایت میکنند. این استانداردها شامل تایید هویت کاربر، مدیریت و تغییر رمز عبور، و نظارت بر تلاشهای ورود هستند. با این حال، برای تقویت امنیت، میتوان از سیاستهای رمز عبور قویتر استفاده کرد که کاربران را ملزم به استفاده از رمزهای عبور پیچیده و منحصربهفرد میکند.
بهمنظور تسهیل مدیریت رمز عبور و جلوگیری از ذخیره یا استفاده مجدد از آنها، سازمانها میتوانند از ابزارهای مدیریت رمز عبور استفاده کنند که رمزهای عبور قوی تولید و مدیریت کنند.
-
مدل Zero Trust پذیرش کند
مدل امنیتی Zero Trust بر این اصل استوار است که هیچ دستگاه، کاربر یا برنامهای نباید بهصورت پیشفرض اعتماد شود. در این مدل، برای دسترسی به دادهها و برنامهها، نیاز به احراز هویت مداوم و تایید کاربران، دستگاهها و برنامهها وجود دارد.
مدل امنیتی Zero Trust چیست و چگونه از آن پیروی کنیم؟
پیادهسازی Zero Trust برای مقابله با چالشهای امنیتی مدرن، از جمله محیطهای ترکیبی، کارکنان دورکار، سرویسهای SaaS و تهدیدات پیچیدهای مانند باجافزار، ضروری است.
رایانش ابری چه مفهومی دارد و چقدر قدرتمند است؟
-
استفاده از احراز هویت چند عاملی (MFA)
سازمانهایی که تنها از یک فاکتور مانند رمز عبور برای احراز هویت استفاده میکنند، بیشتر در معرض نقضهای امنیتی هستند. احراز هویت چندعاملی (MFA) به کاربران نیاز دارد تا حداقل دو نوع مختلف از شواهد را برای احراز هویت ارائه کنند:
- چیزی که میدانید (مانند پین یا رمز عبور)
- چیزی که دارید (مانند تلفن هوشمند یا کارت شناسایی)
- چیزی که هستید (مانند اثر انگشت یا اسکن شبکیه)
MFA باید بهعنوان بخشی از استراتژی Zero Trust بهگونهای پیاده شود که کاربران را دچار مشکلات یا نارضایتی نکند. MFA فقط در مواردی که سطح ریسک بالاست، مانند دسترسی به منابع حساس یا استفاده از دستگاههای ناامن، باید اعمال شود.
-
عدم تأمین امنیت دسترسی شخص ثالث
طبق گزارش SecureLink و موسسه Ponemon بیش از نیمی از سازمانهای حوزه بهداشت (54%) دسترسی تأمینکنندگان خارجی را بهطور منظم نظارت نمیکنند. این غفلت باعث میشود مهاجمان امنیتی با بهرهبرداری از نقاط ضعف تأمینکننده، به شبکه آن و در نتیجه به محیطهای مشتریان آن دسترسی پیدا کنند. برای کاهش این ریسک، سازمانهای بهداشتی باید فعالیت تمامی تأمینکنندگان و ارائهدهندگان خدمات را به دقت ممیزی کنند.
-
عدم وجود قابلیتهای کافی برای شناسایی و پاسخگویی به تهدیدات
بسیاری از سازمانهای حوزه بهداشت تا ماهها پس از وقوع نفوذ اولیه از حملات به سیستمهای خود مطلع نمیشوند. برای مثال، حملات باجافزار تنها پس از تکمیل رمزگذاری دادهها و دریافت یادداشت باجگیری کشف میشوند.
برای مقابله با این موضوع، سازمانها میتوانند از راهحلهای مدیریت log و شناسایی نفوذ استفاده کنند که فعالیتهای غیرعادی را شناسایی و تحلیل میکنند و تیمهای فناوری اطلاعات را از تهدیدات احتمالی آگاه میسازند تا بتوانند به سرعت واکنش نشان داده و خسارات را به حداقل برسانند.
چگونه IAM به حل مشکل کمک میکند؟
نقش IAM در رعایت قوانین و استانداردها در زمینه مقررات و استانداردهایی مانند GDPR و NIST میتواند تغییر دهنده بازی باشد. در ادامه، برخی از راههای کلیدی که IAM میتواند به سازمانها در اطمینان از رعایت چارچوبها و الزامات امنیتی رایج کمک کند، آورده شده است.
-
چارچوب امنیت سایبری NIST
این چارچوب امنیتی برای کمک به سازمانها در هر اندازهای طراحی شده تا بهخوبی خطرات امنیت سایبری را درک کرده، کاهش دهند و مدیریت کنند تا از دادهها و شبکههای خود محافظت نمایند. اگرچه NIST CSF الزامی نیست، اما برای سازمانهای بهداشتی که به دنبال تقویت وضعیت امنیت سایبری خود هستند، بسیار ارزشمند است. در ادامه، نحوه همراستایی برخی از دستورالعملهای آن با IAM در بخش بهداشت آورده شده است:
- اثبات هویت: چارچوب NIST توصیه میکند که قبل از اعطای دسترسی به سیستمها و دادهها، بهدقت بررسی شود که آیا فرد همانطور که ادعا میکند، واقعی است یا خیر.
- سیاستهای کنترل دسترسی: این چارچوب همچنین بر پیادهسازی سیاستهای قوی برای مدیریت دسترسی به دادههای حساس و سایر منابع تأکید دارد که میتواند شامل کنترلهای دسترسی دقیق بر اساس اصول Zero Trust باشد. همچنین، نظارت مستمر بر فعالیتهای دسترسی را برای شناسایی و پاسخ به تهدیدات بهموقع تشویق میکند.
- احراز هویت: NIST استفاده از MFA را برای کاهش چشمگیر خطرات ناشی از اعتبارنامههای مخدوش شده توصیه میکند.
چارچوب امنیتی NIST چیست؟آشنایی با استانداردها و ساختار
-
GDPR
مقررات عمومی حفاظت از دادهها (GDPR) بر تمامی سازمانهایی که دادههای مربوط به ساکنان اتحادیه اروپا را ذخیره یا پردازش میکنند، اعمال میشود، حتی اگر مستقیماً در هیچ یک از کشورهای عضو فعالیت نداشته باشند. یک استراتژی قوی IAM میتواند به سازمانهای بهداشتی در رعایت الزامات اصلی حریم خصوصی دادههای GDPR کمک کند. علاوه بر این، انجام روشهای زیر نیز توصیه میشود:
- اطمینان حاصل کنید که تیم شما الزامات حریم خصوصی را نظر میگیرد و از ابتدای یک پروژه بهطور منظم آنها را ارزیابی میکند.
- سوابق دقیقی از هرگونه مکالمه در مورد نقضهای بالقوه دادهها حفظ کنید، اما نباید مثالهای خاصی از دادههای شخصی را شامل شود. همیشه باید کمترین مقدار داده ممکن را جمعآوری کنید، طبق اصل حداقلسازی دادههای GDPR.
- برای هر پروژه جدید که ممکن است ریسک بالا برای اطلاعات شخصی بهوجود آورد، ارزیابی تأثیر حفاظت از دادهها (DPIA) را کامل کنید. یک DPIA شامل شناسایی، تحلیل و کاهش چالشهای حفاظت از دادهها برای یک پروژه پیشنهادی است.
- حقوق موافقت را رعایت کنید. GDPR الزامی به کسب رضایت کاربران قبل از جمعآوری یا استفاده از اطلاعات آنها دارد. رضایت باید “بهطور آزادانه، خاص، آگاهانه و بدون ابهام” باشد.
قانون GDPR یا حفاظت از دادههای عمومی چیست و چه اصولی دارد؟
-
CCPA و CPRA
قانون حفاظت از حریم خصوصی مصرفکنندگان کالیفرنیا (CCPA) در سال 2020 تصویب شد و توسط قانون حقوق و اجرای حریم خصوصی کالیفرنیا (CPRA) که در سال 2023 بهاجرا درآمد، اصلاح شد. CPRA به کسبوکارهای سودآوری که دادههای شخصی را از ساکنان کالیفرنیا جمعآوری میکنند و به برخی از آستانههای درآمد یا پردازش دادهها دست مییابند، اعمال میشود.
مانند GDPR قوانین CPRA حقوق زیادی را برای موضوعات دادهها فراهم میکند، از جمله:
- دانستن و دسترسی به دادههای شخصی خود
- درخواست حذف دادههای خود
- انصراف از فروش دادههای خود
- درخواست اصلاح دادههای خود
- مصون بودن از تبعیض
- محدود کردن استفاده و افشای اطلاعات شخصی حساس خود
برخی از ویژگیهای IAM میتوانند به تسهیل رعایت CPRA کمک کنند. در اینجا نحوه عملکرد آنها آمده است:
- مدیریت دسترسی کاربران به دادههای تحت نظارت: سیستمهای IAM کنترل متمرکز بر دسترسی کاربران به دادههای حساس، از جمله اطلاعات شخصی تحت مقررات CPRA را به شرکتهای بهداشتی میدهند.
- نظارت بر فعالیتهای مربوط به دادههای تحت نظارت: راهحلهای IAM معمولاً شامل حسابرسی قوی فعالیتهای کاربران هستند، بنابراین سازمانهای بهداشتی میتوانند پیگیری کنند که چه کسی به چه دادههایی دسترسی دارد و به سرعت به رفتار مشکوک پاسخ دهند تا دادههای تحت نظارت CPRA و دیگر الزامات را محافظت کنند.
- برآورده کردن درخواستهای موضوعات داده: راهحلهای IAM به خودکارسازی پردازش درخواستهای کاربران برای دانستن اینکه چه دادههایی را یک سازمان بهداشتی در مورد آنها ذخیره کرده و برای اصلاح یا حذف آن دادهها کمک میکنند.
-
HIPAA
HIPAA یک قانون فدرال ایالات متحده است که اطلاعات بهداشتی حساس بیماران را از افشای بدون اطلاع یا رضایت بیمار محافظت میکند. IAM میتواند به سازمانها در رعایت الزامات زیر HIPAA کمک کند:
- رمزنگاری ePHI: راهحلهای IAM معمولاً مکانیزمهای رمزنگاری را برای محافظت از محرمانگی PHI در حین ذخیرهسازی و انتقال ارائه میدهند.
- رویۀ دسترسی اضطراری: راهحلهای IAM با پروتکلهای دسترسی اضطراری به پرسنل مجاز امکان میدهند که در مواقع بحرانی، مانند خرابی سیستم یا بلایای طبیعی، بهسرعت به ePHI دسترسی پیدا کنند و در عین حال کنترلهای امنیتی را حفظ نمایند.
- کنترل دسترسی و ردیابی فعالیت: IAM میتواند به سازمانها کمک کند تا دسترسی کاربران به ePHI را مطابق با اصل حداقل مجاز محدود کنند، کنترلهای احراز هویت و مجوز قوی را اجرایی کنند و فعالیتها را مطابق با الزامات HIPAA ثبت کنند.
- اجرای حداقل استفاده و افشا: قاعدۀ حریم خصوصی HIPAA از نهادهای تحت پوشش میخواهد که استفاده و افشای PHI را به حداقل لازم برای تحقق هدف مورد نظر محدود کنند. یک سیستم IAM که RBAC را برای فعالسازی کنترلهای دسترسی دقیق ارائه میدهد، میتواند به سازمانهای بهداشتی در رعایت این قاعده کمک کند.
قانون HIPAA (قابلیت انتقال و مسئولیت بیمه سلامت) چیست؟
جمع بندی…
رعایت مقررات دولتی و بهترین شیوههای چارچوبهای امنیت سایبری میتواند برای هر سازمان بهداشتی یک چالش بزرگ باشد. این چالشها شامل نیاز به شناسایی دقیق تهدیدات، مدیریت دسترسی به اطلاعات حساس و اطمینان از رعایت قوانین متعددی مانند HIPAA، GDPR و CCPA است.
پیادهسازی یک راهحل قوی IAM میتواند بهعنوان یک زیرساخت حیاتی عمل کند که به سازمانهای بهداشتی کمک میکند تا خطرات سایبری را شناسایی و مدیریت کنند. این سیستمها نه تنها امکان کنترل دقیق دسترسی به دادههای حساس را فراهم میکنند، بلکه میتوانند فعالیتهای کاربران را رصد و ثبت کنند و به شناسایی رفتارهای مشکوک کمک کنند.
در نتیجه، با توجه به اینکه تهدیدات سایبری بهطور مداوم در حال تحول هستند، وجود یک سیستم IAM قوی به سازمانها این امکان را میدهد که نه تنها به الزامات قانونی پاسخ دهند بلکه به تقویت امنیت کلی خود و حفاظت از اطلاعات بیماران نیز بپردازند. این رویکرد میتواند به حفظ اعتماد عمومی و تضمین سلامت و ایمنی دادهها در صنعت بهداشت و درمان کمک کند.