Kyberturvallisuuden vahvistaminen terveydenhuoltoalalla
Sisällysluettelo:
UnitedHealth Groupin mammuttihakkerointi viime vuosi oli enemmän kuin rohkaissut kongressin valvontaa; se sai myös ehdotuksen liittovaltion terveydenhuollon kyberturvallisuussääntöjen päivittämisestä. Kun julkinen kuuleminen asiasta on nyt päättynyt, kaikki katseet on suunnattu toimeenpanevaan elimeen nähdäkseen, mitä se tekee seuraavaksi.
Viime perjantaina, 7. maaliskuuta 2025, oli julkisten kommenttien määräaika ehdotetusta merkittävästä päivityksestä vuoden 1996 sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskevaan lakiin (HIPAA) turvasääntöön. Tämä asettaisi tiukemmat kyberturvallisuusvaatimukset monille HIPAA:n jo kattamille organisaatioille.
Vanhentunut laki nopeasti modernisoituvalla alalla
Kun HIPAA hyväksyttiin, Palm Pilot oli kämmenlaitteiden tekniikan huippuluokkaa, Hotmail oli uusi, Google ei ollut vielä lanseerannut, ja vain 36 miljoonaa ihmistä käytti verkkoa. Lakia ei ole päivitetty millään aineellisella tavalla vuoden 2013 jälkeen.
Tällä välin tapa, jolla terveydenhuoltojärjestelmä käsittelee tietoa, on muuttunut olennaisesti. HITECH-laki ja 21st Century Cures Act -laki kannustivat teknologiainvestointeihin ja tiedon jakamiseen, mikä aloitti nopean modernisoinnin ajan.
Yhdysvaltain terveys- ja henkilöstöministeriö (HHS) katsoi, että säännöt oli päivitettävä vastaamaan aikoja. Joulukuussa se ehdotti uutta kyberturvallisuussääntöä keinona tukea terveydenhuoltoalaa sitä vastaan, mitä se näkee kasvavana kyberhyökkäyksiä vastaan. Se on suora reaktio alaa vastaan kohdistuviin lisääntyviin kyberhyökkäyksiin.
Terveydenhuollon rikkomusten nousuvesi
HHS ylläpitää omia tietomurtolukujaan Office of Civil Rights (OCR) -toimistonsa kautta. Se havaitsi, että suuret loukkaukset kaksinkertaistuivat vuosina 2018–2023, kun taas niiden henkilöiden määrä kymmenkertaistui, mikä osoittaa, että yksittäiset rikkomukset ovat yhä vaikuttavampia. Tämä ei ole yllättävää, kun otetaan huomioon lunnasohjelmien kasvu, jota HHS nimenomaan kutsuu. Se viittasi myös UnitedHealth Groupin Change Healthcare -tytäryhtiössä tapahtuneeseen rikkomukseen, joka 190 miljoonan uhrin kanssa vaikutti yli puoleen Yhdysvaltain väestöstä. Tämä lisää varmasti merkittävästi vuoden 2024 rikkomuslukuja, HHS varoitti.
Muut alan luvut osoittavat tämän. The 2024 Ponemon Cybersecurity in Healthcare -raportti sanoi, että 92 % kyselyyn vastanneista terveydenhuollon organisaatioista oli joutunut vähintään yhdestä kyberhyökkäyksestä edellisen vuoden aikana. Keskimäärin kallein hyökkäys, jonka jokainen uhri kärsi, maksoi heille 4.7 miljoonaa dollaria, ja 79 prosenttia ilmoitti, että hyökkäykset olivat häirinneet potilaiden toimintaa.
Kongressin painostus
Lainsäätäjät ovat myös vaatineet terveydenhuollon kyberturvallisuuden tiukempaa sääntelyä. Kolme kuukautta aiemmin senaatin talousvaliokunnan puheenjohtaja Ron Wyden ja senaattori Mark Warner, molemmat demokraatteja, käyttöön Health Infrastructure Security and Accountability Act (HISA), jossa vaadittiin HHS:ää ottamaan käyttöön tiukemmat kyberturvallisuussäännöt ja poistamaan samalla siviilioikeudelliset rangaistuskatot sääntöä rikkovilta tahoilta. Hakkeroinnin jälkeen Wyden oli erityisen aggressiivinen UnitedHealth Groupin kriitikko ja vaati liittovaltion tutkintaa yrityksen kyberturvallisuuskäytännöistä.
Uudet tiukat toimenpiteet
Ehdotettu HHS-päivityssääntö poistaa ajatuksen "osoittettavista" turvatoimista, joita ei vaadita, vaan tekee sen kaikista määritellyistä toimenpiteistä pakollisia. Se lisää erityisiä määräaikoja monille nykyisille vaatimuksille. Kaikki turvallisuuskäytännöt on dokumentoitava kirjallisesti.
Riskianalyysi: Organisaatioiden on sisällytettävä kirjalliset arviot vuosittain tarkistetusta omaisuusluettelosta ja verkkokartasta, joka seuraa elektronisten henkilökohtaisten terveystietojen (ePHI) liikkumista järjestelmiensä kautta. Heidän on tunnistettava kaikki näihin tietoihin ja järjestelmiin kohdistuvat uhat ja luokiteltava niiden riskitasot.
Tapahtumaan reagointi ja tiedottaminen: Ehdotettu sääntö edellyttää myös tiukempia teollisuuden reagointitoimia, mukaan lukien kirjalliset suunnitelmat tietoturvahäiriöiden raportoimiseksi ja järjestelmien ja tietojen palauttamiseksi 72 tunnin kuluessa niiden kriittisyyden perusteella priorisoimalla. Liikekumppaneiden on myös kerrottava organisaatioille, jos he aktivoivat varasuunnitelmansa.
Vaatimustenmukaisuustarkastukset: Terveydenhuollon organisaatioiden tulee käydä vuosittain läpi turvallisuussäännön noudattamistarkastus ja saada asiantuntijalta kirjallinen tarkastus siitä, että kaikki heidän liikekumppaninsa noudattavat sääntöä. Samoin liikekumppaneiden on saatava sama urakoitsijoidensa.
Tekniset hallintalaitteet: Kaikki ePHI:t on salattava lepotilassa ja kuljetuksen aikana, ja sekä monitekijätodennus että haittaohjelmien torjunta ovat pakollisia. Ylimääräiset ohjelmistot on poistettava asiaankuuluvista järjestelmistä ja asianmukaiset verkkoportit on poistettava käytöstä. Verkot on segmentoitava. Varmuuskopiointia ja palautusta varten on oltava erilliset hallintalaitteet, ja järjestelmät on tarkistettava haavoittuvuuksien varalta kuuden kuukauden välein ja niille on tehtävä vuosittainen tunkeutumistesti.
Ryhmäsuunnitelman sponsorit: Ehdotettu sääntöpäivitys vaikuttaa myös organisaatioihin, kuten työnantajiin, jotka tekevät ryhmäterveyssuunnitelmia. Heidän suunnitelmaasiakirjoissaan on oltava ehdotetun turvasäännön noudattamista koskevat vaatimukset, ja heidän on varmistettava, että ePHI:n ottava sairausvakuutusasiamies tekee samoin. Jos heidän on aktivoitava hätätilannesuunnitelmansa, heidän on ilmoitettava siitä suunnitelman jäsenilleen 24 tunnin kuluessa.
Mitä se tarkoittaa terveydenhuoltoyrityksille
Uudet pakolliset toimenpiteet ovat ristiriidassa pitkälti vapaaehtoisen lähestymistavan merkityksellisten kyberturvallisuusstandardien kanssa. Tammikuussa 2024 HHS julkaisi 405(d)-ohjelmansa – joukon vapaaehtoisia turvallisuusmenetelmiä terveydenhuoltoalan organisaatioille. Nämä olivat kuitenkin osa laajempaa suunnitelmaa lisätä alalle kyberturvallisuusvastuuta.
HIPAA:n tavoin ehdotettu päivitys koskee loppupään terveydenhuollon tarjoajia, kuten sairaaloita, sekä alkupään organisaatioita, kuten terveyssuunnitelmia, vakuutusyhtiöitä ja terveydenhuollon selvityskeskuksia, jotka ohjaavat ePHI:n kaikkien näiden organisaatioiden välillä. Myös liikekumppanit – ne yritykset, jotka käsittelevät PHI:tä kyseisten yksiköiden osalta – kuuluvat myös soveltamisalaan.
Lukijat, jotka pohtivat muutosten heijastavan vain peruskyberhygieniaa, eivät ole yksin. Ehdotettu päivitys edustaa huomattavaa päivitystä HIPAA:n olemassa oleviin sääntöihin, sanovat lakiasiantuntijat, mutta se myös täyttää lainsäädännöllisen aukon saattamalla alan paremmin yhteen tällä hetkellä hyväksyttyjen kyberturvallisuussuositusten, kuten NISTin kyberturvallisuuskehyksen, kanssa.
"Organisaatioille, jotka ovat jo ottaneet nämä "parhaat käytännöt" käyttöön, monet uusista ehdotetuista säännöistä ovat tuttuja ja monissa tapauksissa ne on jo otettu käyttöön, kiistellä Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah of Epstein Becker & Green National Law Reviewissa. Siinä tapauksessa leijonanosa työstä tulee todennäköisesti olemaan paperin sekoitus ja lomakkeiden täyttäminen hallinnollisten vaatimusten täyttämiseksi.
Suojatuille organisaatioille, jotka ovat olleet löyhästi kyberturvallisuustoimenpiteissään, on kuitenkin tehtävä jonkin verran raskasta työtä. HISAlla, joka on vielä komiteavaiheessa, oli joitain merkittäviä lisäosia. Erityisesti se rahoitti 800 miljoonaa dollaria maaseudun ja kaupunkien turvaverkkosairaaloille vaatimusten noudattamisen saavuttamiseksi, ja sen jälkeen 500 miljoonaa dollaria kaikille muille sairaaloille.
HHS:n sääntöpäivitys ei näytä tarjoavan tällaista rahoitusta. Se voi olla jumituskohta.
"Koska tietoturvasäännön "kohtuullisten ja asianmukaisten" suojatoimien standardien on otettava huomioon kustannukset, koko, monimutkaisuus ja ominaisuudet, NPRM:n määräysvaltaisemmat ehdotukset [ilmoitus ehdotetusta säännön laatimisesta] ja oikaistavien vaatimusten puute muodostavat raskaan taakan - erityisesti pienemmille palveluntarjoajille." kirjoittaa Amy S. Leopard, Bradley Arant Boult Cummings LLP:n kumppani ja hänen kumppaninsa Adriante Carter.
Mitä tapahtuu seuraavaksi
Julkisen kuulemisajan päätyttyä HHS todennäköisesti kokoaa kommentit ja vastaa niihin. Tyypillisesti sääntöä muutetaan joidenkin huomautusten huomioon ottamiseksi, ja teollisuuden olisi noudatettava sitä 180 päivän kuluttua ministeriön viimeistelystä.
On kuitenkin epävarmaa, eteneekö NPRM nykyisessä muodossaan - tai missään muodossa. Äskettäinen hallinnollinen muutos Yhdysvalloissa on ennakoinut ennennäkemättömiä poliittisia muutoksia jyrkästi. Kun Robert F Kennedy Jr on nyt ministeriön ohjaajana, ja nykyinen presidentti ylläpitää pitkään jatkunutta sääntelyn purkamista ja näennäisesti hylkäävän mahdollisimman paljon liittovaltion toimintoja, loppuvuoden 2025 poliittinen maisema on kenen tahansa arvattavissa.
