NY Eyaleti Hastaneler için Yeni Siber Kayıtları Gözetliyor; 500 Milyon Dolarlık Fiyat Etiketi

Taslak tekliflerde hastanelerin siber güvenlik programlarına, olaylara müdahale planlarına ve risk değerlendirmelerine yönelik gereklilikler yer alıyor; çok faktörlü kimlik doğrulama ve şifreleme kullanımı gibi kontroller; ve üçüncü taraflarca geliştirilen yazılımlar için güvenlik riski yönetimi.

Önerilen eyalet düzenlemeleri ayrıca hastanelerin, yeni zorunlu kılınan politikaları uygulamak ve gerektiğinde bunları yıllık olarak gözden geçirip güncellemek için (eğer halihazırda mevcut değilse) bir CISO rolü oluşturmasını da gerektirecektir.

Önerileri 13 Kasım’da açıklayan New York Valisi Kathy Hochul, “Birbirine bağlı dünyamız, siber saldırılara karşı, özellikle hastanelerde mevcut her kaynağı kullanarak birbirine bağlı bir savunma talep ediyor” dedi ve bunları siber dayanıklılık için “ülke lideri bir plan” olarak nitelendirdi. .

Sağlık kuruluşlarının, hastanenin normal işleyişi üzerinde maddi olumsuz etki yaratabilecek veya tesisin normal işleyişinin herhangi bir maddi kısmına maddi zarar verme ihtimali makul olan veya yaralanmayla sonuçlanabilecek bir olayı tespit ettikten sonra iki saat içinde devlete bildirimde bulunmaları gerekecek. fidye yazılımının hastanenin bilgi sistemlerinin önemli bir kısmına yayılması.

Tekliflerin 6 Aralık’ta New York Eyalet Sicilinde yayınlanması ve ardından 5 Şubat 2024’te sona erecek 60 günlük kamuoyu yorumu yapılması planlanıyor.

Tekliflerin Finansmanı

Açıklamada, hastanelerin önerilen siber güvenlik kurallarına uyum için ödeme yapmalarına yardımcı olmak amacıyla New York Eyaleti Sağlık Bakanlığı’nın 500 milyon dolarlık yeni bir sağlık teknolojisi sermaye programı için talepte bulunduğu belirtildi. Programın finansmanı, siber güvenlik amaçları da dahil olmak üzere tesislerin teknolojik ihtiyaçlarını desteklemek amacıyla eyaletin 2024 mali bütçesinden tahsis edildi.

Taslak teklifte, “Hastanelerin önerilen düzenlemelere uyması hem ekonomik hem de teknolojik açıdan mümkün.” ifadesine yer veriliyor. “Şu anda diğerlerinin yanı sıra ağ izleme, bildirim, personel eğitimi ve alıştırmaları ve çok faktörlü veya risk tabanlı kimlik doğrulama sağlamak için lisanslanabilecek veya satın alınabilecek önemli miktarda teknoloji ve yazılım mevcut.”

Taslakta, ekonomik açıdan, büyük sağlık sistemlerinin bir parçası olan veya kentsel alanlarda bulunan hastanelerin önerilen düzenlemelere uymasının, daha küçük veya daha fazla kırsal tesislere göre daha kolay olacağı belirtiliyor. “Bunun nedeni, daha büyük tesislerin ve sistemlerin halihazırda düzenlemelerin bazı yönlerine sahip olabilmesidir” dedi.

Taslakta, programın maliyetlerinin her hastanenin hazırlık düzeyine bağlı olarak değişeceği belirtildi. Devletin tahminine göre, daha az gelişmiş siber güvenlik programlarına sahip olan ve önemli geliştirme gerektiren tesislerin başlangıç ​​finansmanı 250.000 ila 10 milyon dolar arasında olabilir.

Eyalet, akut bakım veya yoğun bakım yatağı sayısı 10’dan az olan küçük hastanelerin devam eden yıllık maliyetlerinin 50.000 ila 200.000 ABD Doları arasında olacağını tahmin ediyor. Eyalette bu tür 15 hastane var.

Devlet, 10 ila 100 yataklı orta ölçekli hastaneler için devam eden maliyetlerin 200.000 ila 500.000 ABD Doları arasında olacağını tahmin etti. Eyalette bu tür 62 hastane var.

New York Eyaleti’nin 100’den fazla yatağa sahip olanlar olarak tanımlanan 114 büyük hastanesi için eyalet, devam eden yıllık maliyetin 2 milyon dolar olduğunu tahmin etti. Taslak teklifte, “Tesisler, uygun ve uygulanabilir olduğu durumlarda eyalet sözleşme listelerinden ekipman veya hizmet satın alabilecek. Tesisler ayrıca önerilen düzenlemelere uygunluğun sağlanmasına yardımcı olmak için uygun üçüncü taraf satıcılar veya yüklenicilerle sözleşme yapabilecek.” ifadesine yer verildi.

HITprivacy LLC danışmanlık firmasından gizlilik avukatı David Holtzman, hastanelerin önerilen yeni gereksinimleri karşılamalarına yardımcı olacak devlet finansmanının kritik öneme sahip olduğunu söyledi.

Çok sayıda anket, sağlık kurumlarının, geliri etkileyen bir dizi faktör nedeniyle (COVID-19 salgını, Medicare ve Medicaid geri ödeme oranlarındaki düşüşler ve artan işçilik ve malzeme maliyetleri dahil) ciddi mali stres altında olduğunu gösterdi.” dedi.

“Bu faktörler, bilgi sistemlerine yönelik siber güvenlik ve fidye yazılımı tehditlerine ayak uydurmak için gereken insanlara ve teknolojilere yatırım için mevcut fonları azalttı” dedi.

Diğer Hususlar

New York Eyaleti Halk Sağlığı ve Sağlık Planlama Konseyi geçen hafta taslak düzenlemeleri inceledi ve Perşembe günü halka açık bir duruşmada bunları tartıştı. Bazı konsey üyeleri, düzenleme çalışmalarına potansiyel olarak bakım evleri, toplum sağlığı merkezleri, diyaliz merkezleri ve ayaktan cerrahi merkezleri gibi diğer türdeki sağlık tesislerinin de dahil edilmesiyle ilgilendiklerini ifade etti.

Ancak şimdilik, yazıldığı gibi taslak teklifler, New York Kamu Sağlığı Kanununun “28. Maddesi uyarınca ruhsatlandırılan tüm genel hastaneleri” ilgilendiriyor.

Sağlık Bakanlığı sözcüsü Bilgi Güvenliği Medya Grubu’na, “Bakanlığın düzenlemeyi nihai onay için PHHPC’ye geri getirmeden önce tüm kamuoyu yorumlarını değerlendirmesi gerekecek.” dedi.

Taslak teklifte şu anda New York’ta hastaların korunan sağlık bilgilerinin ve kişisel tanımlanabilir bilgilerinin korunması ve güvenliğine yönelik herhangi bir eyalet siber güvenlik gerekliliği bulunmadığı belirtiliyor.

“Tıbbi bakım arayan New Yorkluların, bilgilerinin korunması konusunda garantili bir minimum seviyesi yok. Bunun sonucunda, eyalet genelindeki tesislerde sadece hastaların maddi ve sağlık kaybıyla sonuçlanmayan çok sayıda yüksek profilli siber güvenlik ihlali yaşandı. Taslak teklifte “veri yok ama bazı durumlarda bakımı da geciktiriyor” deniyor.

Taslakta, hastanelerin oluşturması gereken siber güvenlik programının “HIPAA’yı desteklemek üzere tasarlanacağı ve HIPAA Güvenlik Kuralı’nın herhangi bir hükmünün veya HIPAA kapsamında sağlanan ve zorunlu kılınan mevcut hasta korumalarının yerine geçmeyeceği” belirtiliyor.

Bazı uzmanlar, New York’taki diğer HIPAA kapsamındaki kuruluşlar gibi hastanelerin de halihazırda federal düzenlemelere uyması gerektiğini, ancak önerilen eyalet gerekliliklerinin de devreye gireceğini söylüyor.

Mike Hamilton, tekliflerin kabul edilmesi halinde New York Sağlık Bakanlığı’nın, New York Finansal Hizmetler Departmanı’nın son birkaç yıldır yaptığının bir yansıması olacağını söyledi: Kritik sektörlerde siber güvenliğin ek devlet gözetimi için federal düzenlemelerin geliştirilmesi ve genişletilmesi. , güvenlik firması Critical Insight’ın kurucusu ve CISO’su.

Hamilton, “Bu, tasarım, yazılım malzeme listesi ve IoT güvenlik etiketlemesi yoluyla güvence altına alınan federal girişimleri artıracaktır” dedi. “Bu gereklilikler, kontrol denetimlerini gerçekleştirmek için eyalet düzeyinde daha fazla sorumluluk oluşturacak ve bu denetimlere federal bir kurumun başaramayacağı ölçeklenebilirlik sağlamak için sorumluluğun bir kısmını Sağlık ve İnsan Hizmetleri’ne devredecektir.”

Hamilton, “teknik borç ve ilgili güvenlik açıklarının, tehdit aktörlerinin sağlık sektörüne ilk erişimi için birincil istismar vektörü olduğu bilindiğinden”, hastanelere hibe finansmanının sağlanmasının teknoloji yükseltmelerine odaklanacağını söyledi.

“Finansman ve bunun nasıl karara bağlanacağı, her ne kadar çok daha yüksek bir yatırım seviyesinde olsa da, iki partili altyapı kanununda yer alan federal, eyalet ve yerel siber güvenlik hibe programına ve ilk tur için geliştirilen başvuru sürecine de benzer. Bu hibenin bir kısmı sağlık sektörü için yeniden kullanılabilir” dedi.

Holtzman, genel olarak, New York’un önerilen düzenlemelerinin, mevcut sağlık ortamında yaygın olan bilgi ve tıbbi teknolojiye yönelik tehditleri ve güvenlik açıklarını ele almak için nesnel idari ve teknik standartlar belirleme çabası olarak tanımlanabileceğini söyledi.

“Önerilen bu düzenlemelerin amacı HIPAA Güvenlik Kuralı standartlarını desteklemek ve tamamlamak, 1990’lara uygun yaklaşımları 21. yüzyıla taşımaktır.”