Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Guida alla conformità HIPAA per container e cloud

Non è necessario essere esperti di conformità del cloud o di sicurezza per aver sentito parlare di HIPAA, il più importante regolamento per il trattamento dei dati sanitari negli Stati Uniti. Chiunque abbia ricevuto assistenza sanitaria negli USA ha sentito parlare di questo regolamento e ne conosce le disposizioni di base.

Eppure, ottenere la conformità HIPAA nei moderni ambienti basati su cloud o container resta una sfida, anche per gli sviluppatori e i team IT più esperti. Anche se, o forse proprio perché, l’HIPAA è stato adottato da oltre vent’anni, prevede solo poche linee guida specifiche che stabiliscono il modo in cui le imprese devono assicurare la riservatezza dei dati sanitari che gestiscono nel cloud o attraverso i container. Al contrario, prevede una copiosa serie di requisiti di sicurezza e conformità di alto livello che le aziende devono rispettare se utilizzano container o il cloud.

Per aiutare i team a navigare le turbolente acque dell’HIPAA nel contesto del moderno cloud computing, questo articolo spiega cos’è il regolamento e quali sono le migliori prassi da adottare per garantire la conformità nel cloud e in ambienti containerizzati.

Come vedremo, sebbene l’ambiguità dei requisiti tecnici dell’HIPAA comporti la mancanza di regole ferree che spiegano esattamente in che modo progettare e configurare gli ambienti cloud e container, è piuttosto facile elaborare strategie di conformità che applicano gli standard di sicurezza e conformità HIPAA negli ambienti cloud nativi più moderni.

Cos’è l’HIPAA?

L’Health Insurance Portability and Accountability Act, o HIPAA, è una legge federale statunitense che protegge la riservatezza dei dati sanitari. Richiede alle aziende di proteggere la riservatezza dei dati personali associati alla salute.

L’HIPAA è stato adottato nel 1996, ma è stato ampliato diverse volte mediante l’introduzione di “regole” aggiuntive che definiscono requisiti non inclusi nel documento originale. Per i team IT e gli sviluppatori, la regola HIPAA fondamentale è la cosiddetta “privacy rule”, entrata in vigore nel 2003. Questa regola definisce i tipi specifici di “informazioni sanitarie personali,” o PHI, che le aziende devono proteggere per soddisfare i requisiti di riservatezza dell’HIPAA.

Le PHI (e le PHI elettroniche, o ePHI, il termine più spesso utilizzato per riferirsi alle PHI archiviate digitalmente) comprendono dati quali i nomi dei pazienti, gli indirizzi fisici, gli indirizzi IP, i numeri di conto e (soprattutto) “qualunque altro numero, caratteristica o codice di identificazione univoco.” Questa dicitura determina il fatto che la protezione della privacy secondo l’HIPAA si estenda anche a qualunque tipo di dato digitale (stringhe di agenti, cronologia delle ricerche, voci di registri) che potrebbero potenzialmente essere collegati a utenti singoli.

A chi si applica il regolamento HIPAA?

Determinare a quali organizzazioni si applica il regolamento HIPAA è una questione complessa. L’HIPAA ha ricevuto alcune critiche a causa della mancanza di una precisa definizione delle entità a cui si riferisce e dei tipi di media (elettronici, orali, cartacei) soggetti alle sue disposizioni qualora abbiano a che fare con le PHI. Valutare l’applicabilità dell’HIPAA è ancora più complesso in situazioni che coinvolgono aziende partner o fornitori che potrebbero avere accesso a dati sanitari raccolti da organizzazioni diverse.

In parte a causa di questa ambiguità, è buona prassi interpretare l’HIPAA come un regolamento dalle implicazioni estremamente ampie. Se un’azienda archivia o tratta qualunque tipo di dato sanitario che potrebbe essere ragionevolmente interpretato come una PHI, è meglio eccedere nello zelo di ritenere che l’HIPAA sia applicabile. Anche se l’azienda in questione non opera nel comparto sanitario o se i dati raccolti o gestiti non hanno uno scopo esplicitamente legato alla salute, è meglio applicare le regole di conformità dell’HIPAA che ignorarle solo per scoprire di essere in realtà soggetti al regolamento e tenuti a pagare una sanzione per un’inadempienza.

È inoltre bene osservare che, sebbene l’HIPAA sia una legge statunitense e tecnicamente non si applichi alle aziende con sede al di fuori degli USA, il governo federale afferma the il regolamento HIPAA resta valido in situazioni nelle quali le aziende archiviano dati al di fuori degli Stati Uniti se esse hanno sede negli USA.

Quali sono i costi delle non conformità all’HIPAA?

Le sanzioni HIPAA per le non conformità variano enormemente, da $100 a $50,000 per violazione. La sanzione annuale massima equivale a $1,5 milioni, ma i regolatori potrebbero comminare sanzioni per più anni.

Non sono poche le violazioni del regolamento HIPAA che hanno comportato sanzioni da capogiro. Ad oggi, la sanzione più costosa è stata di 16 milioni di dollari, comminata ad Anthem nel 2018.

Migliori prassi per la conformità HIPAA nel cloud

Come abbiamo già indicato, il regolamento HIPAA è stato introdotto negli anni Novanta e molti dei suoi emendamenti risalgono alla prima metà degli anni Duemila. L’HIPAA è stato quindi redatto prima della diffusione del cloud computing e teoricamente non offre linee guida tecniche per ottenere la conformità in ambienti basati sul cloud. Il governo federale offre alcune linee guida di alto livello per ottenere la conformità HIPAA nel cloud, tuttavia queste si concentrano soprattutto su come interpretare il ruolo di un provider cloud nella gestione delle PHI e non forniscono una descrizione esatta del modo in cui configurare e proteggere i servizi cloud per ottenere la conformità.

Ciononostante, diverse migliori prassi sono state elaborate per aiutare le aziende a rispettare il regolamento. Ecco di seguito quelle più importanti da considerare per i moderni ambienti cloud.

Utilizzare un cloud conforme a HIPAA

Come prima cosa, le aziende devono essere sicure di rivolgersi a provider di cloud pubblici che rispettino le disposizioni HIPAA. Oggi, tutti i principali cloud pubblici sono conformi, sebbene sia sempre meglio accertarsi del fatto che i servizi cloud in uso lo siano effettivamente.

Ci si può aspettare che servizi cloud molto utilizzati, come le VM e gli archivi, rispettino i requisiti HIPAA. Ma servizi più oscuri, oppure servizi che coinvolgono complesse architetture ibride, potrebbero non garantire una conformità completa (soprattutto se la maggior parte delle responsabilità relative alla sicurezza ricade sui clienti, come avviene soprattutto negli ambienti cloud).

Tuttavia, indipendentemente da quanto un provider sia conforme, è necessario ricordare sempre che i modelli di responsabilità condivisa nel cloud stabiliscono che i clienti sono responsabili di garantire la conformità di dati e applicazioni da loro distribuiti nel cloud. In molti casi, i provider di cloud certificano solo che l’infrastruttura cloud sottostante è conforme all’HIPAA, ma non garantiscono (né lasciano supporre) che tutti i workload scelti siano automaticamente conformi.

Scegliere la giusta regione del cloud

Sebbene l’HIPAA non impedisca di archiviare le PHI su server cloud che si trovano al di fuori degli Stati Uniti, il governo federale ha emanato alcune linee guida che suggeriscono che, se un’azienda sceglie di archiviare i dati in posizioni geografiche in cui esistono “tentativi di attacco o altri attacchi malware documentati e in crescita,” essa deve adottare le misure necessarie per fare fronte a tali rischi.

Le linee guida non specificano a quali aree geografiche ci si riferisce. Ciononostante, l’approccio più semplice in termini di conformità HIPAA è archiviare i dati in regioni cloud che fanno base negli USA.

Utilizzare il controllo degli accessi al cloud

Una migliore prassi fondamentale per la protezione delle PHI nel cloud è utilizzare strumenti per il controllo degli accessi, come gli strumenti IAM, per limitare gli utenti e le applicazioni che possono accedere ai dati.

Rendere anonime le PHI sul cloud

L’anonimizzazione dei dati è una tecnica molto utile per mitigare i rischi legati alla privacy. Questo procedimento non elimina totalmente i rischi per la riservatezza, poiché dati nominalmente anonimi possono a volte perdere l’anonimato. Nonostante questo, anonimizzare i dati nel cloud consente di mitigare alcuni rischi HIPAA.

Gestione del ciclo di vita dei dati e controllo delle versioni

Molti provider di servizi cloud offrono strumenti per la gestione del ciclo di vita dei dati in grado di eliminare automaticamente i dati in base alle regole fornite. È utile valutare l’adozione di uno strumento simile per la rimozione dei dati dopo un periodo di tempo specifico al fine di limitare la quantità delle PHI conservate nel cloud.

È anche possibile configurare il controllo delle versioni su alcuni servizi di archiviazione cloud. Questo si rivela molto utile in termini di conformità poiché consente di recuperare con facilità le versioni precedenti dei dati in caso di PHI corrotte per qualunque ragione.

Conformità HIPAA dei container

Se si utilizzano container per distribuire applicazioni, è utile considerare alcune ulteriori prassi che consentono di raggiungere la conformità in termini di HIPAA.

Scansione delle immagini dei container

La scansione delle immagini dei container aiuta a rilevare malware e vulnerabilità presenti all’interno delle immagini dei container, che gli hacker utilizzano per ottenere accessi non autorizzati ai dati PHI che potrebbero esistere in un ambiente containerizzato.

Utilizzare gli strumenti RBAC per i container

Gli strumenti IAM possono limitare gli accessi a servizi nei container cloud in generale, ma non sono granulari o estendibili tanto quanto gli strumenti RBAC specifici per i container, ad esempio RBAC di Kubernetes e i contesti di protezione. Si consiglia di utilizzare questi ultimi, se disponibili, per garantire un ulteriore livello di protezione agli ambienti containerizzati.

Registri di controllo

Negli ambienti Kubernetes, i registri di controllo avvisano delle violazioni. Aiutano a dimostrare la conformità con i requisiti di sicurezza, il che potrebbe rivelarsi molto utile per alcuni scopi legati all’HIPAA. Si consiglia di raccogliere e analizzare regolarmente (o meglio, continuamente) i dati dei registri di controllo.

Proteggere i dati dei container

In alcuni casi, le PHI contenute all’interno degli ambienti containerizzati possono esistere in diversi luoghi. Potrebbero infatti avere origine all’interno del container che le raccoglie o le elabora, ma poi potrebbero essere spostate in volumi di archiviazione o in file system host. È anche possibile che i dati definiti come PHI possano finire all’interno di registri che potrebbero avere origine in un container ma essere poi spostati verso destinazioni esterne da un aggregatore di registri.

Ciò significa che, soprattutto in ambienti containerizzati, è necessario comprendere le complessità dell’architettura di archiviazione e garantire che le PHI vengano crittografate e protette attraverso il controllo degli accessi, indipendentemente da dove vengono archiviate. Non avrebbe senso proteggere le PHI all’interno dei container, ma poi dimenticarsi di proteggere i volumi di archiviazione e viceversa.

Conclusione

La conformità HIPAA è un argomento complesso, soprattutto nell’era del cloud. Invece che definire il modo in cui i principi HIPAA possono essere tradotti in pratica negli ambienti cloud nativi, i regolatori hanno lasciato troppo all’interpretazione.

Tuttavia, la buona notizia è che il regolamento HIPAA esiste da molto tempo e che sono emerse alcune migliori prassi per ottenere la conformità HIPAA in cloud e container. Anche se i regolatori non segnalano esattamente in che modo è possibile raggiungere questo scopo, le misure di base da adottare sono sufficientemente chiare se si conoscono i tipi di dati protetti da HIPAA e il modo in cui essi vanno gestiti in ambienti basati su cloud e container.