Styrkelse af cybersikkerhed i sundhedssektoren

UnitedHealth Group's mammut hack sidste år gjorde mere end at opmuntre Kongressens kontrol; det førte også til en foreslået opdatering af føderale sundheds-cybersikkerhedsregler. Med den offentlige høring om det nu lukket, er alle øjne rettet mod den udøvende magt for at se, hvad den så gør.

Sidste fredag, den 7. marts 2025, var deadline for offentlig kommentar til en foreslået større opgradering af Health Insurance Portability and Accountability Act of 1996 (HIPAA) sikkerhedsregel. Dette ville pålægge den brede vifte af organisationer, der allerede er omfattet af HIPAA, strengere cybersikkerhedskrav.

En forældet lov i en hurtigt moderniserende sektor

Da HIPAA blev vedtaget, var Palm Pilot det nyeste inden for håndholdt teknologi, Hotmail var nyt, Google var ikke lanceret endnu, og kun 36 millioner mennesker brugte internettet. Loven er ikke blevet opdateret på nogen væsentlig måde siden 2013.

I mellemtiden har sundhedssystemets måde at behandle information på ændret sig væsentligt. HITECH Act og 21st Century Cures Act opmuntrede teknologiinvesteringer og datadeling, hvilket indvarslede en periode med hurtig modernisering.

Det amerikanske Department of Health and Human Services (HHS) mente, at reglerne skulle opdateres for at afspejle tiden. I december var det foreslået den nye cybersikkerhedsregel som en måde at støtte sundhedssektoren op mod, hvad den ser som en voksende byge af cyberangreb. Det er en direkte reaktion på voksende cyberangreb mod sektoren.

En stigende tidevand af sundhedsbrud

HHS vedligeholder sine egne databrudstal via sit Office of Civil Rights (OCR). Den fandt, at store brudhændelser blev fordoblet mellem 2018-2023, mens antallet af berørte individer blev tidoblet - hvilket indikerer, at individuelle brud bliver mere virkningsfulde. Dette er ikke overraskende i betragtning af væksten af ​​ransomware, som HHS specifikt kalder på. Den citerede også bruddet hos UnitedHealth Groups Change Healthcare-datterselskab, som med 190 millioner ofre ramte over halvdelen af ​​den amerikanske befolkning. Det vil helt sikkert øge antallet af brud i 2024 betydeligt, advarede HHS.

Andre industrital bekræfter dette. De 2024 Ponemon Cybersecurity in Healthcare rapport sagde, at 92 % af de adspurgte sundhedsorganisationer havde været udsat for mindst ét ​​cyberangreb i det foregående år. I gennemsnit kostede det dyreste angreb, som hvert offer blev udsat for, dem 4.7 millioner dollars, og 79 % rapporterede, at angrebene havde forstyrret patientens operationer.

Pres fra Kongressen

Lovgivere har også opfordret til en fastere regulering af cybersikkerhed i sundhedsvæsenet. Tre måneder tidligere, formand for Senatets finansudvalg, Ron Wyden, og senator Mark Warner, begge demokrater, introduceret Health Infrastructure Security and Accountability Act (HISA), som opfordrede HHS til at implementere skrappere cybersikkerhedsregler og samtidig fjerne civile straflofter for omfattede enheder, der overtræder reglen. Efter hacket var Wyden en særlig aggressiv kritiker af UnitedHealth Group, der opfordrede til en føderal undersøgelse af virksomhedens cybersikkerhedspraksis.

Strenge nye foranstaltninger

Den foreslåede HHS-opdateringsregel fjerner ideen om 'adresserbare' sikkerhedsforanstaltninger, som ikke er påkrævet, og stiller i stedet alle de skitserede foranstaltninger påkrævet. Det tilføjer specifikke deadlines for mange af de eksisterende krav. Alle sikkerhedspolitikker skal dokumenteres skriftligt.

Risikoanalyse: Organisationer skal inkludere skriftlige vurderinger af en årligt revideret aktivopgørelse og netværkskort, der sporer bevægelse af elektronisk personlig sundhedsinformation (ePHI) gennem deres systemer. De skal identificere alle trusler mod disse oplysninger og systemer, klassificere deres risikoniveauer.

Hændelsesreaktion og afsløring: Den foreslåede regel opfordrer også til strammere industriens reaktionsforanstaltninger, herunder skriftlige planer for at rapportere sikkerhedshændelser og gendanne systemer og dataadgang inden for 72 timer, prioriteret baseret på deres kritikalitet. Forretningsforbindelser skal også fortælle organisationer inden for, hvis de aktiverer deres beredskabsplaner.

Overholdelsesrevisioner: Sundhedsorganisationer skal gennemgå en årlig overholdelsesaudit i forhold til sikkerhedsreglen og få en skriftlig bekræftelse af en ekspert på, at alle deres forretningsforbindelser overholder reglen. På samme måde skal forretningsforbindelser få det samme fra deres entreprenører.

Teknisk kontrol: Al ePHI skal være krypteret i hvile og under transport, og både multi-faktor autentificering og anti-malware-beskyttelse vil være obligatorisk. Fremmed software skal fjernes fra relevante systemer, og passende netværksporte skal deaktiveres. Netværk skal segmenteres. Der skal være separate, dedikerede kontroller til backup og gendannelse, og systemer skal scannes for sårbarheder hvert halve år og udsættes for en årlig penetrationstest.

Gruppeplansponsorer: Den foreslåede regelopdatering påvirker også organisationer som arbejdsgivere, der tegner gruppesundhedsordninger. Deres plandokumenter skal indeholde krav om at overholde den foreslåede sikkerhedsregel, og de skal sikre, at sygeforsikringsagenten, der tager deres ePHI, gør det samme. Hvis de er nødt til at aktivere deres hændelsesplan, skal de underrette deres planmedlemmer inden for 24 timer.

Hvad det betyder for sundhedsvirksomheder

De nye obligatoriske foranstaltninger står i kontrast til en stort set frivillig tilgang til meningsfulde cybersikkerhedsstandarder. I januar 2024 offentliggjorde HHS sit 405(d)-program – et sæt frivillige sikkerhedstilgange for organisationer i sundhedssektoren. Disse var dog en del af en bredere plan for at pålægge industrien mere cybersikkerhedsansvar.

Ligesom HIPAA gælder den foreslåede opdatering for downstream-sundhedsudbydere som hospitaler sammen med upstream-organisationer som sundhedsplaner, forsikringsudbydere og sundhedsclearinghouses, der kanaliserer ePHI mellem alle disse organisationer. Forretningsforbindelser - de virksomheder, der håndterer PHI for de omfattede enheder - er også inden for rammerne.

Læsere, der afspejler, at ændringerne blot afspejler grundlæggende cyberhygiejne, er ikke alene. Den foreslåede opdatering repræsenterer en væsentlig opgradering til HIPAA's eksisterende regler, siger juridiske eksperter, men den udfylder også et lovgivningsmæssigt hul ved at bringe sektoren mere i overensstemmelse med aktuelt accepterede cybersikkerhedsanbefalinger såsom NIST's Cybersecurity Framework.

"For organisationer, der allerede har vedtaget disse 'best practices', vil mange af de nye foreslåede regelkrav være velkendte og vil i mange tilfælde allerede være implementeret," argumentere Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah fra Epstein Becker & Green i National Law Review. I så fald vil broderparten af ​​arbejdet sandsynligvis involvere ujævn papirblanding og formularudfyldning for at opfylde de administrative krav.

Men for omfattede organisationer, der har været slappe i deres cybersikkerhedsforanstaltninger, vil der være nogle tunge løft at gøre. HISA, som stadig er på komitéstadiet, havde nogle betydelige tilføjelser. Især afsatte den i$800 mio. i finansiering til land- og bysikkerhedsnethospitaler for at opnå overholdelse, med yderligere $500 mio. efter denne periode for alle andre hospitaler.

HHS's regelopdatering ser ikke ud til at tilbyde sådan finansiering. Det kunne være et problem.

"I betragtning af at sikkerhedsreglens standard for 'rimelige og passende' sikkerhedsforanstaltninger skal tage højde for omkostninger, størrelse, kompleksitet og muligheder, udgør de mere foreskrivende forslag i NPRM [meddelelse om foreslået regeludformning] og mangel på adresserbare krav en stor byrde - især for mindre udbydere." skriver Amy S. Leopard, partner hos Bradley Arant Boult Cummings LLP og hendes associerede Adriante Carter.

Hvad sker der nu

Efter afslutningen af ​​den offentlige høringsperiode vil HHS sandsynligvis samle og reagere på kommentarer. Typisk vil reglen blive ændret for at imødekomme nogle af disse kommentarer, og industrien ville være forpligtet til at overholde den 180 dage efter, at afdelingen afsluttede den.

Det er imidlertid usikkert, hvorvidt NPRM fortsætter i sin nuværende form - eller i nogen form overhovedet. Den seneste administrative ændring i USA har indvarslet hidtil usete politiske ændringer med forbløffende hastighed. Da Robert F Kennedy Jr nu bemander rorpinden ved departementet, og med den nuværende præsident, der opretholder en langvarig dereguleringstilgang og tilsyneladende definansierer så meget føderal regeringsoperation som muligt, er det politiske landskab for resten af ​​2025 nogens gæt.