Close
שליחת קורות חיים

עמידה בתקן HIPAA בענן ציבורי

05/01/2015

מאת: רן רוטשילד, מנהל לקוחות בכיר, CloudZone, מטריקס
מאז 2006 אנו עדים לקצב לא יאומן של חדשנות אשר מובל על ידי העננים הציבוריים. ההתקדמות שלהם משמשת כמנוע טכנולוגי מרכזי האחראי לצמיחה ולהעשרת יכולות אחרות על הפלטפורמות שלהם. מהפכה טכנולוגית זו אחראית להסרת חסמים שעד לאחרונה מנעו מחברות להגר או לבנות בענן סביבות פעולה תואמות  HIPAA .HIPAA  או  Health Insurance Portability and Accountability Act,  הן תקנות לשימוש בנתונים דיגיטליים, מטרתן לפקח על השימוש במידע רפואי אישי על ידי כל הנוגעים בו ולמנוע דליפה של מידע זה אל גורמים לא מורשים. בעבר, חברות ובעיקר ארגונים גדולים ו SMB -נמנעו מפניה לאפיק זה, בעיקר משיקולי אבטחה ורגולציה. טענה זו כמעט אינה תקפה כיום.  אנו רואים כי חברות בכל הגדלים ומכל התעשיות מאמצות את הפלטפורמה החדשה בזכות ובעבור אבטחת המידע ולא למרות האבטחה.
עמימות: האתגר של HIPAA
עמידה ב -HIPAA אכן מעלה מספר אתגרים עבור חברות. עם זאת, לאחר מספר שנים של עבודה על סביבות תואמות HIPAA וייעוץ למספר חברות בנושא רגולציה ייחודית זו, למדתי כי ישנם שלושה נושאים משותפים שיוצרים את האתגרים ..1מחסור בידע לגבי התקינה עצמה. 2 עמידה בתקינת HIPAA היא בהצהרה עצמית ו .3 ישנם תחומים רבים בהם התקינה משאירה שיקול דעת לגוף הנבדק ולשותפים עסקיים.
חברות מעדיפות הוראות ברורות לגבי כיצד הן צריכות להטמיע רגולציה.  למרות שהתקינה מגדירה חלק מדרישות החובה, על פי רוב, קבלת ההחלטות נותרת לביצוע ע״י הגוף עצמו או אצל השותפים עסקיים.
חברות מבוססות ענן נתונות לאותם חוקים ורגולציה של חברות מבוססות שרתים מקומיים, ואמורות לפעול על פי אותם נהלים. גם המחלקה לשירותי בריאות  (HHS) וגם המשרד לזכויות אדם (OCR) לא פסקו נגד שימוש בשירותי ענן כפלטפורמה להעברה, אחסון, עיבוד או ניהול רשומות של מידע בריאותי מסווג (PHI). הם הגדירו את הנושאים הדורשים טיפול, וגלגלו את הדברים לפתח הגופים המבוקרים והשותפים העסקיים עצמם להחליט מה, כיצד והיכן להטמיע. בעוד חברות יוצאות למסע הסמכת ה- HIPAA הן צריכות לבחון מקרוב את התקינה עצמה,  את סביבות ה- IT  שלהן, את הנהלים והתהליכים הפנימיים ולא פחות חשוב את אלה של ספקי הענן שלהן.
עבור כל פסקה ברגולציה יש לשקול אל מול הדרך בה חברה מטמיעה ומטפלת בה.  אחד מהדברים החשובים לציון לגבי HIPAA הוא ההבדל שבין "נדרש" (Required) ל"התייחסות" (Addressable) ניתן למצוא לכך סימוכין רשמיים (מסמך 'הפשטת ניהול HIPAA'  ממרץ 2013 – סעיף 164.306  סטנדרטים לאבטחה, חוקים כלליים (d) (1)).
HIPAA הלכה למעשה
HIPAA משאירה לחברות מרחב תמרון ואת האחריות להגדיר עבור עצמן כיצד, כמה, והיכן להטמיע, על בסיס גודלן, המורכבות היחסית, היכולות, התשתית הטכנולוגית, יכולות אבטחת החומרה והתוכנה, עלויות, ההסתברות ופוטנציאל הסיכון הקריטי.  מדובר במונחים בלתי מוחשיים וסובייקטיביים, שלא תמיד קל לחשב.
כך, לדוגמה HIPAA  מבקשת כי גוף מבוקר או שותף עסקי, יטפל בנושא הצפנה/ פיענוח. הרגולטור אינו כופה על חברות להשתמש בפתרונות הצפנה, אך חייבת להתבצע התייחסות. אם החברה בוחרת שלא להטמיע יכולת זו, היא חייבת להסביר מדוע, ולבחון מחדש את ההחלטה ברמה תקופתית. עם זאת, חברות צריכות גם לבחון סעיף נוסף, אשר מציין כי אפילו אם מידע מוגן דלף בטעות לגורם בלתי מאושר, שאין לו היכולת לגשת למידע הממשי,  אין להסתכל על כך כפריצה ועל כן חובת הדיווח משתנה.
ישנה הבחנה בין חברות קטנות אשר מעבדות את הנתונים שלהן על גבי תשתית IT מקומית, לבין ארגונים גדולים המעבדים את הנתונים בענן ציבורי. שתיהן כפופות לאותה רגולציה, אך היכולות שלהן שונות והסיכונים להן הן חשופות, שונים משמעותית האחד מהשני. לכן, דרך המימוש להסמכת  HIPAA יכולה להיות שונה מאוד מחברה לחברה.
לא פשוט אך אפשרי
ניתן להשיג עמידה בתקני HIPAA בענן באמצעות יצירה והפעלה של נהלים ותהליכים פנימיים, תכנון סביבות IT בצורה נכונה ולא מתפשרת, לצד שמירה על עדכונים ברגולציה. אין בכך כדי לומר כי השגת עמידה ברגולציית ה-HIPAA  היא פשוטה, אך בניגוד לתפיסות הגורסות כי מדובר במהלך בלתי אפשרי בעליל, ניתן לקבוע באופן מוחלט כי בעזרת תכנון ואסטרטגיה נכונים ה-HIPAA הוא בהחלט בר השגה.
*הכותב הוא מנהל לקוחות בכיר ב-cloudzone, יחידת הענן של מטריקס.
 
אודות CloudZone
CloudZone,  יחידת הענן של מטריקס המתמחה בפתרונות ובשירותי AWS  הינה Premier Consulting Partner,   Worldwide Channel Reseller, ו- Authorized Government Reseller של AWS. עם למעלה מ-5 שנות ניסיון ב-AWS, היחידה מספקת ללקוחותיה חבילת שירות מלאה הכוללת: ייעוץ, ארכיטקטורה, של התשתיות ושירותים מנוהלים. CloudZone מסייעת ללקוחותיה למנף את הכלים הקיימים ב- AWS כך שאלו יוכלו להתרכז בעסקי הליבה בארגון. היחידה מציעה מגוון רחב של שירותים למקסום ביצועים תוך שמירה על עלויות נמוכות. שירותי CloudZone מאפשרים אופטימיזציה של יכולת ההתרחבות, אספקת מוצרים ללקוחות החברה עם איכות ומהירות יוצאת דופן, ביטול זמני ההשבתה והגברת הפרודוקטיביות. ג'ון ברייס, חטיבת ההדרכה של מטריקס העובדת בצמוד עם CloudZone, הינה מרכז הדרכה רשמי של AWS בישראל. www.cloudzone.io