Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri, HIPAA/HITECH
HHS, Hastaneler için Yeni Siber Kayıtlar ve HIPAA Güvenlik Kuralı Güncellemesi Öneriyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Aralık 2023
ABD Sağlık ve İnsani Hizmetler Bakanlığı Çarşamba günü, Biden yönetiminin sağlık sektörünü genellikle zayıf olan siber güvenliğini iyileştirmeye nasıl teşvik etmeyi önerdiğini özetleyen kapsamlı bir strateji belgesi yayınladı.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Strateji, gelecek yıl HIPAA Güvenlik Kuralının güncellenmesini, Medicare ve Medicaid programlarına katılan hastaneler için yeni siber güvenlik gereksinimlerinin belirlenmesini, sağlık kuruluşları için yeni gönüllü siber güvenlik performans hedeflerinin belirlenmesini (bunları uygulamak için mali sopa ve havuç dahil) ve “bir” hedefin genişletilmesini içeriyor. -sağlık sektörü kuruluşlarının HHS siber güvenlik hizmetlerinden ve kaynaklarından yararlanabileceği mağazayı durdurun.
HHS, önerilen çerçevenin sağlık sektörüne yönelik siber güvenlik stratejisine bir “giriş” olduğunu söyledi. Plan, Başkan Joe Biden’ın kritik altyapıya yönelik daha geniş ulusal siber güvenlik stratejisini destekliyor (bkz: Beyaz Saray Biden’ın Ulusal Siber Güvenlik Stratejisini Açıkladı).
HHS, hastanelerde ve tıp merkezlerinde yaşanan bilgisayar korsanlığı olaylarının, uzun süreli bakımın kesintiye uğramasına, hastaların başka tesislere yönlendirilmesine ve prosedürlerin iptal edilmesine neden olan birkaç haftalık dijital kesintilere yol açtığını yazdı.
“Daha da önemlisi, hastaların güvenliğini riske atıyorlar ve hayat kurtarıcı bakım için yerel acil servisin, radyoloji ünitesinin veya kanser merkezinin varlığına bağlı olan yerel ve çevredeki toplulukları etkiliyorlar.”
HHS Sivil Haklar Dairesi aracılığıyla takip edilen büyük veri ihlalleri 2018’den 2012’ye %93 arttı ve OCR’ye fidye yazılımı içerdiği bildirilen büyük ihlaller %278 arttı.
HHS, stratejinin çoğunu gerçekleştirmek için mevcut yetkililerden yararlanabileceğini ancak bazı tekliflerin kongre onayına ihtiyaç duyacağını söyledi. Geçtiğimiz yılın sonlarında Kongre, Gıda ve İlaç İdaresi’ne tıbbi cihazlara yönelik siber güvenlik düzenleme gerekliliklerini güçlendirme konusunda daha fazla yetki verdi (bkz.: Yeni Cihaz Siber Kayıtlarının Etkinleşmesiyle birlikte FDA Yönergeyi Sonlandırdı).
Siber Performans Hedefleri
HHS, sağlık ve kamu sağlık sektörü kuruluşları için önerdiği siber güvenlik performans hedeflerini veya CPG’leri ayrıntılı olarak açıklamamasına rağmen, bakanlık bunların hem siber güvenlik performansı için minimum temel uygulamaları özetlemek için “temel” hedefleri hem de benimsemeyi teşvik etmek için “geliştirilmiş” hedefleri içereceğini söyledi. daha gelişmiş uygulamalara sahiptir.
HHS, sağlık kuruluşlarını performans hedeflerini uygulamaya teşvik etmek için iki mali programın oluşturulmasını öngörüyor. Bu, minimum kaynaklara sahip hastaneler gibi yüksek ihtiyaç duyulan sağlık hizmeti sağlayıcılarının “temel” siber güvenlik önlemlerinin uygulanmasıyla ilgili başlangıç maliyetlerini karşılamalarına yardımcı olacak bir ön yatırım programını ve tüm hastaneleri “ileri düzey siber güvenlik uygulamalarına yatırım yapmaya teşvik edecek bir teşvik programını” içeriyor. ‘geliştirilmiş’ CPG’leri uygulamak.
Bazı HHS tekliflerinin temel çalışmaları halihazırda başlamıştır. Örneğin, HHS’nin 405(d) danışma siber görev gücü bu yılın başında güncellenmiş önerilen gönüllü Sağlık Endüstrisi Siber Güvenlik Uygulamalarını veya HICP’yi yayınladı. Bazı uzmanlar, bu uygulamaların CPG’lerin temelini oluşturmasına yardımcı olabileceğini söyledi.
Risk yönetimi şirketi Censinet’in CEO’su ve kurucusu ve HHS siber görev grubunun bir üyesi olan Ed Gaudet, “Bu gönüllü hedefler, bugün mevcut olan HHS 405d Sağlık Endüstrisi Siber Güvenlik Uygulamalarını yansıtmalı ve bunlardan yararlanmalıdır” dedi.
“Hedeflerin HICP ve NIST Siber Güvenlik Çerçevesi gibi bilinen uygulamalarla uyumlu hale getirilmesi son derece önemlidir ve hedeflerin, ekosistemde halihazırda uçuş halinde olan çalışmaları yansıtması gerekir” dedi.
HHS, HIPAA ihlallerine yönelik hukuki para cezalarını ve HHS’nin potansiyel HIPAA ihlallerini araştırmak için kaynaklarını artırarak, proaktif denetimler yürüterek ve asgari kaynaklara sahip kuruluşlar için sosyal yardım ve teknik yardımı ölçeklendirerek HIPAA uygulama faaliyetlerini güçlendirmek için Kongre ile birlikte çalışmaya devam edeceğini söyledi. HIPAA uyumluluğunu iyileştirin.
Belgede “Bu arada HHS potansiyel HIPAA ihlallerini araştırmaya devam edecek” denildi.
Düzenleyici Hususlar
Sağlık sektöründe siber güvenliğin iyileştirilmesine yardımcı olacak potansiyel yasa teklifleri son aylarda iki partiden de destek aldı.
Senatör Bill Cassidy, R-La., Senato Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi’nin kıdemli üyesi ve Senatör Mark Warner, D-Va.; John Cornyn, R-Texas; ve Maggie Hassan, D-NH; Geçtiğimiz ay, sağlık ve halk sağlığı sektöründe siber güvenliği güçlendirmek için YARDIM Komitesi yetki alanındaki potansiyel yasal çözümleri incelemek ve önermek üzere bir grup kurduklarını duyurdular (bkz: ABD Senatörü Hasta Gizliliğini Koruma Yolları Konusunda Görüş İstiyor).
Geçen yıl yayınlanan bir teknik incelemede Warner, Medicare ve Medicaid programlarına katılan kuruluşların standart bir çalışma prosedürü olarak minimum güvenlik uygulamalarını uygulamasını zorunlu kılan mevzuat olasılığını gündeme getirdi (bkz: Yeni Sağlık Sektörü Siber Güvenlik Mevzuatı İçin Bir Baskı).
HITECH Yasası’nın anlamlı kullanım teşvik planının hastanelerin ve doktorların elektronik sağlık kayıt sistemlerine yatırımlarını teşvik etmesine benzer şekilde, sağlık sektörü kuruluşlarını siber güvenliğe yatırım yapmaya teşvik edecek bir teşvik programı önerdi.
Bazı gizlilik ve güvenlik uzmanları, sağlık sektörünün siber güvenlik durumunu güçlendirmeye yardımcı olmak için ekstra dikkat ve kaynaklara odaklanması gerektiğini söyledi.
Wilmer Hale hukuk firmasından gizlilik avukatı Kirk Nahra, “HHS, sağlık sektöründe bu konulara dikkat çekmekte haklıdır” dedi.
“Aynı zamanda, HHS’nin söylediği gibi, sağlık şirketlerinin uyması beklenen, devam eden, birden fazla ve bazen birbiriyle çelişen yükümlülükler ve standartlar dizisi var” dedi.
Nahra, daha az kaynağa sahip sağlık tesislerine daha fazla kaynak sağlama fikrini teşvik edip desteklerken, “HIPAA kurallarının açıkça farklı türdeki kuruluşlar için biraz farklı standartları hedef aldığını, ancak bu makul düzenleme yaklaşımının yine de hasta verilerini daha yüksek seviyelere çıkarabileceğini söyledi. risk.”
Ayrıca HHS’nin HIPAA Güvenlik Kuralı için dikkate alabileceği potansiyel güncelleme türlerine de şüpheyle yaklaştığını söyledi. “Esnek olmasına rağmen tipik olarak makul uyumluluk faaliyeti için bir çerçeve sağlayan HIPAA Güvenlik Kuralı yaklaşımına gelecekte yapılacak herhangi bir yeniden yazımla HHS’nin nereye gideceğinden emin değilim” dedi.
“Uygulamaya yeni ve daha geniş bir odaklanma konusunda endişeliyim” diye ekledi.
HHS, sağlık sektörünü daha güçlü siber güvenlik uygulamalarını benimsemeye ve sürdürmeye zorlamaya niyetli olsa da bazı eyalet hükümetleri de öyle.
New York Eyaleti, büyük ihlallerin bildirilmesi için iki saatlik bir pencere de dahil olmak üzere hastaneler için önerilen yeni siber güvenlik düzenlemeleri yayınlıyor. Eyaletin önerdiği kurallar, sağlayıcıların yeni gerekliliklere uyum sağlamak için güvenlik yatırımlarını hızlandırmalarına yardımcı olmak amacıyla talep edilen 500 milyon dolarlık finansmanla birlikte gelecek (bkz: NY Eyaleti Hastaneler için Yeni Siber Kayıtları Gözetliyor; 500 Milyon Dolarlık Fiyat Etiketi).