Khung bảo mật HITRUST - Sự tuân thủ cần thiết trong chăm sóc sức khỏe

HITRUST-CSF hợp nhất các tiêu chuẩn và quy định khác của ngành hiện có như HIPAA, NIST, ISO 27001... để giải quyết các thách thức về bảo mật, quyền riêng tư và quy định mà các tổ chức chăm sóc sức khỏe (CSSK) đang phải đối mặt.

Trong thế giới số ngày càng mở rộng, các tổ chức CSSK ngày càng trở nên phụ thuộc vào công nghệ để bắt kịp với nhu cầu phát triển của người tiêu dùng. Kể từ khi xả ra đại dịch COVID-19 xảy ra, con người ngày càng phụ thuộc vào các giải pháp sức khỏe từ xa. Xu hướng này đã thay đổi tương lai của cơ sở hạ tầng CSSK, đòi hỏi các nhà lãnh đạo phải đầu tư mới và xem xét tất cả các rủi ro của việc mở rộng các hệ thống quan trọng.

Tất nhiên, sự gia tăng đầu tư kỹ thuật số trong thời gian qua khiến các cuộc tấn công mạng, đặc biệt là những cuộc tấn công tập trung vào dữ liệu bệnh nhân cũng gia tăng nghiêm trọng. Theo thông tin từ viện CyberPeace, đã có hơn 350 cuộc tấn công mạng vào các tổ chức CSSK kể từ tháng 6/2020. Mỗi cuộc tấn công làm lộ trung bình 165.000 hồ sơ bệnh nhân và ảnh hưởng đến hoạt động của tổ chức trong gần 20 ngày. Các loại dữ liệu bị lộ lọt phổ biến nhất là tên bệnh nhân, địa chỉ, số an sinh xã hội, thông tin sức khỏe của bệnh nhân và thông tin bảo hiểm y tế.

Với sự gia tăng của các cuộc tấn công mạng, các nhà lãnh đạo lĩnh vực CSSK đã tìm ra nhiều giải pháp khác nhau để bảo vệ các tổ chức của mình, bao gồm cả Liên minh Tin cậy về Thông tin Y tế (Health Information Trust Alliance - HITRUST). HITRUST là một tổ chức đã tạo ra HITRUST - Khung bảo mật chung (CSF) hợp nhất các tiêu chuẩn và quy định khác của ngành hiện có như HIPAA, NIST, ISO 27001... HITRUST-CSF hợp nhất các khuôn khổ này để giải quyết số lượng thách thức về bảo mật, quyền riêng tư và quy định mà các tổ chức CSSK đang phải đối mặt.

Làm thế nào để được chứng nhận HITRUST-CSF?

Bất kỳ tổ chức CSSK nào quản lý thông tin nhạy cảm đều có thể sử dụng HITRUST-CSF như một cách để đánh giá các phương pháp tiếp cận tuân thủ và bảo mật của họ. Chứng nhận HITRUST-CSF là không bắt buộc đối với các cơ quan nhà nước, nhưng nó bao gồm các quy định khác nhau được các chính phủ yêu cầu và do đó đã trở thành một khung đáng tin cậy của nhiều tổ chức CSSK.

HITRUST-CSF không được cấu trúc cho các vùng rộng như các khung bảo mật khác mà được chia thành 19 lĩnh vực bảo mật khác nhau tập trung vào việc giúp các tổ chức đạt được sự tuân thủ. Khung này được cập nhật liên tục và có thể mở rộng tùy thuộc vào nhu cầu và quy mô của tổ chức.

Để có được chứng nhận HITRUST, các tổ chức phải đạt điểm trung bình ở mỗi 19 lĩnh vực. Điểm số của một tổ chức cũng được đánh giá dựa trên 5 cấp độ bằng cách đo lường từng yêu cầu kiểm soát và sau đó cho điểm từng cấp độ dựa trên mức thực hiện của mỗi kiểm soát.

Có ba mức độ đảm bảo hoặc mức độ đánh giá mà các tổ chức cần phải hoàn thành để được chứng nhận HITRUST-CSF. Điều này giúp xác định mức độ tin cậy mà một tổ chức CSSK cần đáp ứng đối với các yêu cầu của HITRUST-CSF. Mỗi cấp độ được xây dựng dựa trên nhau; các tổ chức có cấp độ cao nhất là những tổ chức đáp ứng được tất cả các yêu cầu để có được chứng nhận HITRUST-CSF.

Tại sao điều quan trọng là phải được chứng nhận HITRUST-CSF

Trong lĩnh vực CSSK, phát triển lòng tin và mối quan hệ bền chặt giữa các nhà cung cấp và bệnh nhân là điều cần thiết. Các tổ chức được chứng nhận HITRUST có thể đảm bảo với bệnh nhân của họ rằng thông tin và dữ liệu của họ được bảo vệ an toàn trước các cuộc tấn công mạng tiềm ẩn. Ngoài việc tạo được sự tin tưởng của bệnh nhân, có một số lý do khác mà một tổ chức nên có được chứng nhận HITRUST, bao gồm:

Giảm  thiểu rủi ro: HITRUST cung cấp cho các tổ chức thông tin tổng thể về tình trạng toàn vẹn dữ liệu của họ, cho phép họ giải quyết mọi rủi ro và lỗ hổng và cuối cùng là giảm khả năng xảy ra các vấn đề trong tương lai.

Tiêu chuẩn hàng đầu trong ngành: Vì HITRUST-CSF là tiêu chuẩn hàng đầu về bảo mật dữ liệu trong ngành CSSK nên việc hoàn thành chứng nhận sẽ giúp thêm sự chứng minh rằng tổ chức đang sử dụng các phương pháp tốt nhất và giải quyết hiệu quả các yêu cầu trên nhiều tiêu chuẩn quy định.

Tăng cường cơ hội hợp tác: Trong nhiều trường hợp, các tổ chức CSSK được các đối tác bên thứ ba yêu cầu phải có các chương trình an ninh mạng mạnh mẽ. Vì HITRUST-CSF là khung hợp lý và toàn diện nhất nên điều này giúp chứng minh rằng tổ chức tập trung vào việc tuân thủ, do đó giúp thu hút các đối tác và nhà cung cấp bên thứ ba.

Lợi thế cạnh tranh: Có thể đảm bảo với các bệnh nhân, các nhà cung cấp, các nhà thanh toán, nhà môi giới bảo hiểm thương mại và các bên liên quan khác rằng dữ liệu bệnh nhân được an toàn và bảo vệ có thể giúp định vị tốt hơn hầu hết mọi tổ chức CSSK so với các đối thủ cạnh tranh.

Bảo mật dữ liệu bệnh nhân đã trở nên quan trọng hàng đầu đối với các tổ chức CSSK. Mặc dù quá trình chứng nhận HITRUST không dễ dàng, nhưng lợi ích của việc có được chứng nhận là rất lớn. Tổ chức của bạn sẽ có thể đánh giá rủi ro CNTT và điều chỉnh khi cần thiết để bảo vệ cả dữ liệu của cả doanh nghiệp và bệnh nhân. Việc có thể chứng minh sự tuân thủ sẽ bổ sung thêm một lớp đảm bảo cho mọi thành viên của chuỗi giá trị CSSK biết rằng  tổ chức đáp ứng tất cả các yêu cầu bảo mật cho dữ liệu bệnh nhân.

Riêng tại Việt Nam, vấn đề khám chữa bệnh từ xa vẫn chưa thực sự phát triển mạnh. Các phòng khám, các bệnh viện cũng như thói quen khám chữa bệnh của người dân vẫn chủ yếu vẫn làm việc theo phương thức truyền thống. Do vậy khung bảo mật HITRUST cũng chưa được chú ý nhiều. Nhưng với tốc độ chuyển đổi số nhanh chóng như hiện nay, các tổ chức CSSK Việt Nam cũng đang bắt đầu chú trọng hơn vào vấn đề bảo mật thông tin bệnh nhân trên các hệ thống y tế của mình và hi vọng trong tương lai không xa khung bảo mật HITRUST cũng sẽ là mục tiêu hướng tới của các đơn vị y tế tại Việt Nam./.