Versterking van kuberveiligheid in die gesondheidsorgsektor

Die UnitedHealth Group se reuse hack verlede jaar het meer gedoen as om die kongres-ondersoek aan te moedig; dit het ook gelei tot 'n voorgestelde opdatering van federale kuberveiligheidsreëls vir gesondheidsorg. Met die openbare konsultasie daaroor wat nou gesluit is, is alle oë op die uitvoerende tak gerig om te sien wat hy volgende doen.

Verlede Vrydag, 7 Maart 2025, was die sperdatum vir openbare kommentaar vir 'n voorgestelde groot opgradering van die Wet op Gesondheidsversekering oordraagbaarheid en aanspreeklikheid van 1996 (HIPAA) sekuriteitsreël. Dit sal strenger kuberveiligheidsvereistes stel aan die wye reeks organisasies wat reeds deur HIPAA gedek word.

'n Verouderde wet in 'n vinnig-moderniserende sektor

Toe HIPAA geslaag is, was die Palm Pilot die nuutste in draagbare tegnologie, Hotmail was nuut, Google het nog nie bekendgestel nie, en slegs 36 miljoen mense het die web gebruik. Die wet is sedert 2013 nie op enige wesenlike wyse bygewerk nie.

Intussen het die manier waarop die gesondheidsorgstelsel inligting verwerk, wesenlik verander. Die HITECH-wet en 21st Century Cures Act het tegnologie-investering en die deel van data aangemoedig, wat 'n tydperk van vinnige modernisering ingelui het.

Die Amerikaanse departement van gesondheid en menslike dienste (HHS) het gevoel dat die reëls opgedateer moet word om die tye te weerspieël. In Desember het dit het die nuwe kuberveiligheidsreël voorgestel as 'n manier om die gesondheidsorgsektor te ondersteun teen wat hy beskou as 'n groeiende spervuur ​​van kuberaanvalle. Dit is 'n direkte reaksie op groeiende kuberaanvalle teen die sektor.

'n Toenemende gety van gesondheidsorgoortredings

HHS hou sy eie data-oortredingsyfers in stand via sy Office of Civil Rights (OCR). Dit het gevind dat groot oortredings voorvalle tussen 2018-2023 verdubbel het, terwyl die aantal individue wat geraak is tienvoudig toegeneem het - wat aandui dat individuele oortredings meer impak het. Dit is nie verbasend nie gegewe die groei van losprysware, wat die HHS spesifiek noem. Dit het ook die oortreding aangehaal by UnitedHealth Group se Change Healthcare-filiaal, wat, met 190 miljoen slagoffers, meer as die helfte van die Amerikaanse bevolking geraak het. Dit sal sekerlik 2024 se oortredingsgetalle aansienlik verhoog, het HHS gewaarsku.

Ander bedryfsyfers bevestig dit. Die 2024 Ponemon Cybersecurity in Healthcare-verslag het gesê dat 92% van gesondheidsorgorganisasies wat ondervra is, ten minste een kuberaanval in die vorige jaar gely het. Die duurste aanval wat elke slagoffer gely het, het hulle gemiddeld $4.7 miljoen gekos, en 79% het gerapporteer dat die aanvalle pasiëntoperasies ontwrig het.

Druk van die Kongres

Wetgewers het ook gevra vir strenger regulering van kuberveiligheid in gesondheidsorg. Drie maande tevore het die voorsitter van die Senaat se Finansiële Komitee, Ron Wyden, en Senator Mark Warner, albei Demokrate, bekendgestel die Wet op Gesondheidsinfrastruktuur-sekuriteit en -aanspreeklikheid (HISA), wat 'n beroep op HHS gedoen het om strenger kuberveiligheidsreëls te implementeer terwyl siviele boetes vir gedekte entiteite wat die reël oortree, verwyder word. Na die hack was Wyden 'n besonder aggressiewe kritikus van UnitedHealth Group, wat 'n federale ondersoek na die maatskappy se kuberveiligheidspraktyke gevra het.

Streng nuwe maatreëls

Die voorgestelde HHS-opdateringsreël verwyder die idee van 'aanspreekbare' sekuriteitsmaatreëls wat nie vereis word nie, in plaas daarvan word al die uiteengesitte maatreëls vereis. Dit voeg spesifieke sperdatums by vir baie van die bestaande vereistes. Alle sekuriteitsbeleide moet skriftelik gedokumenteer word.

Risiko-analise: Organisasies moet skriftelike assesserings insluit van 'n jaarlikse hersiene bate-inventaris en netwerkkaart wat elektroniese persoonlike gesondheidsinligting (ePHI) beweging deur hul stelsels naspoor. Hulle moet alle bedreigings vir hierdie inligting en stelsels identifiseer en hul risikovlakke klassifiseer.

Voorvalreaksie en openbaarmaking: Die voorgestelde reël vra ook vir strenger industrie-reaksiemaatreëls, insluitend geskrewe planne om sekuriteitsinsidente aan te meld en stelsels en datatoegang binne 72 uur te herstel, geprioritiseer op grond van hul kritiekheid. Sakegenote moet ook organisasies binne vertel as hulle hul gebeurlikheidsplanne aktiveer.

Voldoeningsoudits: Gesondheidsorgorganisasies moet 'n jaarlikse nakomingsoudit teen die sekuriteitsreël ondergaan en 'n skriftelike verifikasie deur 'n deskundige kry dat al hul sakevennote aan die reël voldoen. Net so moet sakevennote dieselfde van hul kontrakteurs kry.

Tegniese kontroles: Alle ePHI moet geënkripteer word tydens rus en tydens vervoer, en beide multi-faktor verifikasie en anti-wanware beskerming sal verpligtend wees. Buitelandse sagteware moet van relevante stelsels verwyder word, en toepaslike netwerkpoorte moet gedeaktiveer word. Netwerke moet gesegmenteer word. Daar moet aparte, toegewyde kontroles vir rugsteun en herstel wees, en stelsels moet elke ses maande vir kwesbaarhede geskandeer word en aan 'n jaarlikse penetrasietoets onderwerp word.

Groepplanborge: Die voorgestelde reëlopdatering raak ook organisasies soos werkgewers wat groepgesondheidsplanne uitneem. Hul plandokumente moet vereistes insluit om aan die voorgestelde sekuriteitsreël te voldoen, en hulle moet verseker dat die gesondheidsversekeringsagent wat hul ePHI neem, dieselfde doen. Indien hulle hul insidentreaksieplan moet aktiveer, moet hulle hul planlede binne 24 uur in kennis stel.

Wat dit vir gesondheidsorgmaatskappye beteken

Die nuwe verpligte maatreëls kontrasteer met 'n grootliks vrywillige benadering tot betekenisvolle kuberveiligheidstandaarde. In Januarie 2024 het HHS sy 405(d)-program gepubliseer – 'n stel vrywillige sekuriteitsbenaderings vir organisasies in die gesondheidsorgbedryf. Dit was egter deel van 'n breër plan om meer kuberveiligheidsaanspreeklikheid op die bedryf af te dwing.

Soos HIPAA, is die voorgestelde opdatering van toepassing op stroomaf-gesondheidsorgverskaffers soos hospitale, saam met stroomop-organisasies soos gesondheidsplanne, versekeringsverskaffers en die gesondheidsorgopruimingshuise wat ePHI tussen al hierdie organisasies plaas. Besigheidsgenote – daardie maatskappye wat PHI vir daardie gedek entiteite hanteer – is ook binne omvang.

Lesers wat weerspieël dat die veranderinge bloot basiese kuberhigiëne weerspieël, is nie alleen nie. Die voorgestelde opdatering verteenwoordig 'n aansienlike opgradering van HIPAA se bestaande reëls, sê regskenners, maar dit vul ook 'n regulatoriese gaping deur die sektor meer in ooreenstemming te bring met tans aanvaarde kuberveiligheidsaanbevelings soos NIST se kuberveiligheidsraamwerk.

"Vir organisasies wat reeds hierdie 'beste praktyke' aangeneem het, sal baie van die nuwe voorgestelde reëlvereistes bekend wees en in baie gevalle reeds geïmplementeer wees," argumenteer Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah van Epstein Becker & Green in die National Law Review. In daardie geval sal die leeue-aandeel van die werk waarskynlik rommelige papierskuifel en vormvul behels om aan die administratiewe vereistes te voldoen.

Vir gedekte organisasies wat laks was in hul kuberveiligheidsmaatreëls, sal daar egter swaar opheffings wees om te doen. HISA, wat nog in die komiteestadium is, het 'n paar belangrike byvoegings gehad. Dit het veral i$800 miljoen in befondsing vir landelike en stedelike veiligheidsnethospitale uitgesny om voldoening te bereik, met 'n verdere $500m ná daardie tydperk vir alle ander hospitale.

Die HHS se reëlopdatering blyk nie sulke befondsing te bied nie. Dit kan 'n knelpunt wees.

"Gegewe dat die Sekuriteitsreël se standaard van 'redelike en toepaslike' voorsorgmaatreëls rekening moet hou met koste, grootte, kompleksiteit en vermoëns, hou die meer voorskriftelike voorstelle in die NPRM [kennisgewing van voorgestelde reëlmaking] en gebrek aan aanspreekbare vereistes 'n swaar las - veral op kleiner verskaffers," skryf Amy S. Leopard, vennoot by Bradley Arant Boult Cummings LLP en haar medewerker Adriante Carter.

Wat gebeur volgende

Ná die einde van die openbare konsultasietydperk sal HHS waarskynlik kommentaar versamel en daarop reageer. Tipies sal die reël gewysig word om sommige van daardie kommentaar te akkommodeer, en daar sal van die bedryf verwag word om daaraan te voldoen 180 dae nadat die Departement dit gefinaliseer het.

Of die NPRM in sy huidige vorm voortgaan – of hoegenaamd enige vorm – is egter onseker. Die onlangse administratiewe verandering in die VSA het ongekende beleidsveranderinge teen 'n yslike snelheid ingelui. Met Robert F Kennedy Jr wat nou die dissel by die departement beman, en met die huidige president wat 'n langdurige dereguleringsbenadering handhaaf en oënskynlik soveel as moontlik federale regeringsoperasies defundeer, is die politieke landskap vir die res van 2025 enigiemand se raaiskoot.