Podaci o pacijentima se često čuvaju ili obrađuju izvan zemlje u kojoj su prikupljeni. Kada se to dogodi, ti podaci potpadaju pod zakone zemlje u kojoj se nalaze. U zavisnosti od tih zakona, lokalne vlasti mogu imati pravni pristup tim podacima. Za zdravstvene ustanove i njihove CISO-e, ključno je znati gdje se podaci fizički nalaze i ko njima upravlja kako bi ih mogli zaštititi.
Kretanje medicinskih podataka kroz inostranu infrastrukturu
Uprkos rastućim bezbjednosnim zabrinutostima i sve većim ograničenjima, kineske firme povezane s vojskom i dalje su duboko uključene u digitalni lanac snabdijevanja SAD-a, navodi izvještaj kompanije Bitsight.
Kompanija Smart Meter upozorila je zdravstveni sektor i javnost da mnogi povezani medicinski uređaji šalju osjetljive podatke o pacijentima preko servera kojima upravljaju kineske firme, prije nego što ti podaci stignu do zdravstvenih sistema sa sjedištem u SAD-u.
Američka Agencija za cyber sigurnost i zaštitu infrastrukture (CISA) nedavno je otkrila da monitor za pacijente Contec CMS8000, kao i njegov rebrendirani model Epsimed MN-120, šalju osjetljive podatke na unaprijed definisanu IP adresu povezanu s kineskim univerzitetom, a sadrže i „backdoor“ koji omogućava preuzimanje i izvršavanje neprovjerenih datoteka.
„Osjetljivi podaci pacijenata su srž sigurne i kvalitetne zdravstvene njege. Ako ih ne štitimo, to znači da ni sigurnost ni kvalitet nisu prioritet. Najbolje je odrediti jasne granice gdje ti podaci smiju putovati i gdje smiju biti pohranjeni, i onemogućiti im pristup bilo gdje drugo,“ rekao je Aaron Weismann, CISO iz Main Line Health.
Regulatorni pritisak
U SAD-u, zdravstvene ustanove moraju se pridržavati zakona HIPAA, koji određuje kako se medicinski podaci smiju čuvati, dijeliti i štititi. U Evropi, GDPR ide još dalje – zahtijeva izričit pristanak, ograničava količinu prikupljenih podataka i omogućava građanima veću kontrolu nad sopstvenim informacijama.
- HIPAA se odnosi isključivo na zdravstveni sektor.
- GDPR važi za sve sektore i obuhvata sve koji obrađuju podatke građana EU, bez obzira gdje se nalaze.
Nepostupanje prema ovim regulativama može dovesti do velikih kazni, pravnih posljedica i – što je najvažnije – gubitka povjerenja pacijenata.
U aprilu 2025. stupilo je na snagu novo pravilo Ministarstva pravde SAD-a, koje nameće stroge kontrole nad pohranom, dijeljenjem i prekograničnim prijenosom osjetljivih podataka Amerikanaca, posebno zdravstvenih.
- Namjerne povrede mogu rezultirati kaznama do 1 milion dolara i zatvorskim kaznama do 20 godina.
- Tokom 90-dnevnog prijelaznog perioda, nehotimične greške se neće strogo kažnjavati ako je vidljivo da organizacija pokušava da se uskladi s pravilom.
Šta mogu uraditi CISO-i
Odabrati provajdere sa lokalnim data centrima
→ Time se izbjegava uticaj stranih zakona i podaci ostaju pod jurisdikcijom domaće regulative.
Procijeniti prakse rukovanja podacima kod trećih strana
→ Provjeriti gdje i kako partneri pohranjuju i prenose podatke.
Definisati i provoditi politiku o mjestu pohrane podataka
→ Jasno odrediti gdje osjetljivi podaci smiju biti pohranjeni ili obrađeni i osigurati da se to poštuje.
Primijeniti tehničke zaštitne mjere
→ Uključujući enkripciju, kontrolu pristupa i segmentaciju mreže za zaštitu podataka u tranzitu i u mirovanju.
Kontinuirano nadgledati usklađenost i identificirati rizike
→ Pratiti kršenja politika, analizirati sumnjive aktivnosti i brzo reagovati na incidente.
Biti u toku s propisima i prijetnjama
→ Pratiti promjene u zakonima kao što su HIPAA, GDPR i nova pravila DOJ-a, te redovno ažurirati interne politike.
Uvoditi svijest o bezbjednosti među osobljem
→ Obuka zaposlenih za ispravno rukovanje osjetljivim informacijama.
Suverenitet podataka je jednako važan kao cyber prijetnje
Suverenitet podataka treba tretirati s istom ozbiljnošću kao ransomware, unutrašnje prijetnje ili zero-day ranjivosti.
U sve složenijim geopolitičkim odnosima, podaci postaju valuta i sredstvo moći. A zdravstveni podaci su među najosjetljivijim informacijama koje pojedinac posjeduje. Zbog toga ih svaka država i svaka organizacija moraju pažljivo i odgovorno čuvati.
Izvor:Help Net Security