Healthcare میں Cloud کو 'نہیں' کہنا ایک نیا trend ہے
2024 کے آخر تک، بہت سے بڑے healthcare ادارے cloud میں sensitive patient data بھیجنے سے انکار کر دیے ہیں۔ یہ HIPAA کی ضرورت نہیں ہے — یہ سائیبر سیکیورٹی کی حکمت ہے۔
Yale New Haven Hospital، Johns Hopkins، Mayo Clinic — وہ سب ایک جیسا فیصلہ کیا ہے:
PHI cloud میں نہیں جائے گا۔ مقام پر، air-gapped ہے۔
یہ کیوں؟
دو وجہیں:
1. Cloud = زیادہ attack surface
جب آپ cloud میں data بھیجتے ہیں، تو یہ:
- Cloud فراہم کنندہ کے سرورز پر رہتا ہے
- Vendor کے کلیدز سے محفوظ ہوتا ہے (یا نہیں)
- Internet پر transmitted ہوتا ہے
- Third-party applications کے ذریعے process ہوتا ہے
آپ کا infrastructure اتنا بڑا ہے۔ اتنے زیادہ connection points۔ اتنے زیادہ insiders۔
2. HIPAA compliance = ہمیشہ غیر مکمل
HIPAA فرض کرتا ہے کہ cloud vendors:
- Business Associate Agreements (BAAs) پر دستخط کریں
- Audit controls implement کریں
- Encryption فراہم کریں
لیکن HIPAA ڈیٹا کو cloud میں بھیجنے سے روکتا نہیں۔ یہ صرف encryption کہتا ہے۔
CISOs کہتے ہیں: یہ کافی نہیں ہے۔