Standartlar, Düzenlemeler ve Uyumluluk
Endüstri Grupları Hastaneler ve Diğerlerine Yönelik Yardımları Karşılıyor, Ancak Cezalara Karşı Çıkıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
26 Mart 2024
Sağlık sektörünü daha güçlü siber güvenlik standartlarını uygulamaya teşvik etmek için önerilen federal sopa ve havuçlar, finansal yardımın memnuniyetle karşılanacağını ancak geciken algılananlar için ödeme cezalarının muhtemelen yarardan çok zarar getireceğini söyleyen bazı sektör gruplarının muhalefetiyle karşılaşıyor.
Ayrıca bakınız: Kamu Sektöründe Bulut Korumalı Alan ile Kötü Amaçlı Yazılım Güvenliğinin Modernleştirilmesi
Sağlık ve İnsani Hizmetler Bakanlığı'nın kısa süre önce yayınladığı 2025 mali yılı bütçe teklifi, hastanelerin önümüzdeki birkaç yıl içinde siber güvenliğe yatırım yapması için hibeler gibi 1,3 milyar dolarlık mali yardımı içeriyor.
Ancak bütçe teklifinde, 2029 mali yılından itibaren siber güvenlik standartlarını karşılayamayan belirli hastanelere yapılan ödemelerin azaltılması şeklinde mali cezalar da yer alıyor.
Amerikan Hastaneler Birliği, “Mevcut Change Healthcare siber saldırısı da dahil olmak üzere, hastanelere ve sağlık sistemine yönelik son siber saldırıların çoğu, üçüncü taraf teknolojilerden ve diğer tedarikçilerden kaynaklanmıştır. Federal kurumlar da dahil olmak üzere hiçbir kuruluş, siber saldırılara karşı bağışık değildir ve olamaz” dedi. teklifler hakkında.
“Ceza uygulamak veya Medicare ödemelerini kesmek, siber suçlarla mücadele için gereken hastane kaynaklarını azaltacaktır ve siber saldırıları önlemeye yönelik ortak hedefimize ters etki yaratacaktır. İdarenin hastanelere yönelik bütçe teklifi yanlış yönlendirilmiştir ve sağlık sektörünün genel siber güvenlik duruşunu iyileştirmeyecektir. ” AHA geçen hafta Kongre üyelerine gönderdiği bir mektupta, onları Change Healthcare siber saldırısının sonuçlarıyla mücadele eden hastanelere yardım etmeye çağırdığını söyledi.
Ocak ayında, ABD Sağlık ve İnsani Hizmetler Bakanlığı, sektördeki genel siber güvenlik durumunu iyileştirmek amacıyla sağlık kuruluşlarının uygulayacağı “temel” ve “gelişmiş” siber güvenlik performans hedeflerini yayınladı.
O dönemde HHS, hedeflerin gönüllü olduğunu söylemişti ancak bunların eninde sonunda potansiyel mali ödül ve cezalarla ilişkilendirilebileceğini de kabul etmişti (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS'nin 2025 mali yılı bütçe teklifinin 13 Mart'ta yayınlanması, siber güvenlik performans hedeflerinin uygulanmasına yönelik potansiyel teşviklerin ve bunların uygulanmamasına yönelik caydırıcı önlemlerin nasıl gerçekleşebileceğine dair bir bakış sundu.
HHS'nin 2025 mali bütçe teklifi, HHS siber güvenlik performans hedeflerini veya CPG'leri uygulamak için Medicare Hastane Sigortası Güven Fonu'ndan 2027 ve 2028 mali yılları boyunca yaklaşık 2.000 “yüksek ihtiyaç sahibi” hastaneye 800 milyon dolar yatırım yapılması çağrısında bulunuyor.
Ancak HHS, 2029 mali yılından itibaren, daha önce Anlamlı Kullanım programı olarak bilinen Birlikte Çalışabilirliği Teşvik programı kapsamında, temel siber güvenlik uygulamalarını benimsemeyen hastanelere “özel sonuçlar” sağlamak için yeni cezaların uygulanacağını söyledi.
HHS, “Temel siber güvenlik standartlarını benimsemeyen hastaneler, yıllık pazar sepeti artışının %100'üne varan cezalarla karşı karşıya kalacak ve 2031 mali yılından itibaren temel ödemenin %1'ine varan potansiyel ek cezalarla karşılaşacak,” dedi. Medicare “piyasa sepeti artışları” sağlık sektöründeki mal ve hizmetlerin fiyat endeksini veya enflasyonunu ifade eder.
“Temel uygulamaları benimsemeyen Kritik Erişim Hastaneleri %1'e kadar ödeme indirimine tabi olacaktır. Ancak, Teşvik Yönetmeliğinin diğer unsurları nedeniyle aksi takdirde daha yüksek toplam cezalara maruz kalacaksa, Kritik Erişim Hastanelerinin toplam cezası toplam %1 ile sınırlandırılmıştır. Birlikte Çalışabilirlik Programı” dedi HHS.
AHA da dahil olmak üzere bazı sağlık sektörü grupları, genel olarak sağlık sektörünü desteklemek için gönüllü siber güvenlik performans hedefleri kavramını ve bunu başarmaya yardımcı olacak finansal kaynakları desteklediklerini söylüyor ancak mali ceza tehditlerinin iğneyi pek fazla harekete geçireceğini düşünmüyorlar.
College of Federal İşler Direktörü Chelsea Arnone, “Başkanın bütçe talebi, fonları Medicare Sağlık Sigortası Güven Fonu'ndan yönlendirdiği ve hastanelerin siber güvenlik performans hedeflerini uygulaması için gereken önemli kongre finansmanını yeterince karşılamadığı için ciddi endişelere yol açıyor” dedi. Sağlık Bilgi Yönetimi Yöneticileri, sağlık hizmetleri CIO'ları ve CISO'lardan oluşan profesyonel bir dernektir.
Bilgi Güvenliği Medya Grubu'na “CHIME, CPG'lerin amacını desteklerken, bütçe gerçek maliyeti ve üyelerimizin mali olarak cezalandırılmadan önce bunları uygulamak için ihtiyaç duyduğu süreyi göz ardı ediyor” dedi.
Arnone, “Bu yaklaşım, halihazırda yetersiz kaynaklara sahip olan güvenlik ağı sağlayıcılarını orantısız bir şekilde etkileyerek bakım topluluklarının bağımlı olduğu hizmetleri tehlikeye atıyor. CHIME, bu kritik çabada kimsenin geride kalmamasını sağlamak için adil mali desteği savunma konusunda kararlı olmaya devam ediyor” dedi.
Örgüt, geçtiğimiz hafta Temsilciler Meclisi Yolları ve Yöntemleri liderlerine yazdığı bir mektupta, AHA'nın “sanki hackerların suç işlemedeki başarısında hatalıymış gibi hastanelere uygulanan zorunlu siber güvenlik gereksinimlerine ilişkin önerileri destekleyemeyeceğini” ifade etti. Kurul.
AHA milletvekillerine, “Hastaneler ve sağlık sistemleri milyarlarca dolar yatırım yaptı ve hastaları korumak ve ağlarını hasta bakımını bozabilecek ve kişisel sağlık verilerinin kaybı nedeniyle mahremiyeti aşındırabilecek siber saldırılara karşı korumak için birçok adım attı.” dedi.
Bu arada, Change Healthcare siber saldırısı ABD sağlık ekosistemini sarsmaya devam ederken, D-Va'dan Senatör Mark Warner, geçen hafta, gelecekte mali açıdan yıkıcı siber olaylara maruz kalmaları durumunda HHS siber güvenlik standartlarını uygulayan sağlık kuruluşlarını potansiyel olarak ödüllendirecek bir yasayı tanıttı.
Warner'ın 2024 tarihli Sağlık Hizmetleri Siber Güvenliği İyileştirme Yasası, HHS'nin hastaneleri etkileyen bir siber olay nedeniyle hastanelere avans veya hızlandırılmış ödeme ihtiyacı olup olmadığını belirlemesini zorunlu kılarak mevcut Medicare Hastane Hızlandırılmış Ödeme Programı ve Medicare Kısım B Peşin Ödeme Programının değiştirilmesini önermektedir. işletmenin nakit akışı.
İşin püf noktası, kuruluşun öncelikle minimum HHS siber güvenlik standartlarını karşılaması gerektiğidir (bkz.: Huzurevi İflas İlan Etti, Son Siber Saldırıları Suçladı).
Warner geçen hafta yaptığı açıklamada, “Change Healthcare'in son saldırısı, tüm sağlık sektörünün savunmasız olduğunu ve oyununu hızlandırması gerektiğini hatırlatıyor. Bu yasa, sağlayıcılara ve satıcılara bunu yapmaları için bazı önemli mali teşvikler sağlayacak” dedi.
HIT Privacy LLC danışmanlık firmasından gizlilik avukatı David Holtzman, kuruluşlar beğensin ya da beğenmesin, ABD hükümetinin sağlık sektörünün siber güvenlik durumunu iyileştirmek için harekete geçmesini sağlama niyetinde göründüğünü söyledi.
“HHS, Medicare ve Medicaid Hizmetleri Merkezi'nin bu yıl siber standartları belirleme sürecine başlayacağına dair güçlü sinyaller gönderiyor” dedi. Her ne kadar HHS teşviklerinin iki yıldan fazla bir süre için başlaması planlanmasa da teorik olarak CMS'nin cezaları daha erken uygulama yetkisine sahip olabileceğini söyledi.
“Yakın zamanda piyasaya sürülen CPG'lerin benimsenmesine yönelik yeni gereklilikler eklemek için mevcut Birlikte Çalışabilirliği Teşvik Programının değiştirilmesini teklif etmeye hazırlanıyorlar” dedi.
Yine de “HHS'nin, hastanelerin siber korumaların benimsenmesine yatırım yapma teşviklerini finanse etmek amacıyla Medicare Trust Funds dolarını harcamak için muhtemelen kongre iznine ihtiyacı var.”