Health-ISAC Hacking Healthcare 3
Tällä viikolla Health-ISAC®Hakkerointi Healthcare® tarkastelee Yhdysvaltain senaatin lakiesitystä, jolla saattaa olla kongressin tuki ja joka muuttaa merkittävästi useita terveydenhuoltoalan kyberturvallisuuden ja vikasietoisuuden osa-alueita. Liity seuraamme, kun arvioimme, mitä lakiesitys tekisi, miten se näyttää edistyvän ja mitä se voisi merkitä terveydenhuoltoalan toimijoille Yhdysvalloissa, jos se hyväksytään.
Muistutuksena, tämä on Hacking Healthcare -blogin julkinen versio. Jos haluat lisäanalyysiä ja mielipiteitä, liity H-ISAC:n jäseneksi ja vastaanota tämän blogin TLP Amber -versio (saatavilla jäsenportaalissa).
PDF-versio:
Tekstiversio:
Tervetuloa takaisin Hacking Healthcareen® !
Terveydenhuollon kyberturvallisuus- ja sietokykylaki vuodelta 2025 edistyy
Yhdysvalloissa kongressin umpikuja, joka estää tarvittavan lainsäädännön läpimenon, on ollut yleinen valitus. Kongressin viimeaikaiset istunnot ovat näyttäneet olevan erityisen tehottomia. Kyvyttömyys löytää eteenpäin vuoden 2015 kyberturvallisuustietojen jakamista koskevan lain (CISA 2015) käsittelyssä on turhauttava esimerkki siitä, miten jopa laajalti tuettu lainsäädäntö voi jumiutua. Viimeaikainen edistyminen merkittävässä alan kyberturvallisuus- ja vikasietoisuuslakiesityksessä antaa kuitenkin aihetta optimismiin.
Mikä on vuoden 2025 terveydenhuollon kyberturvallisuus- ja sietokykylaki?[I]?
Yhdysvaltain senaatin terveys-, koulutus-, työ- ja eläkeasioiden valiokunnan lehdistötiedote, jonka laki esitteli viime kongressissa marraskuussa 2024 ja joka otettiin uudelleen käyttöön joulukuun alussa 2025, toisi mukanaan lukuisia muutoksia sekä julkisen että yksityisen sektorin käytäntöihin, prosesseihin ja määräyksiin.[Ii] joulukuulta tarjoaa lyhyen erittelyn lakiesityksen tärkeimmistä näkökohdista, mukaan lukien sen aikomuksen:
- Vahvistetaan terveydenhuoltoalan kyberturvallisuutta myöntämällä avustuksia terveydenhuollon yksiköille kyberhyökkäysten ehkäisyn ja niihin reagoinnin parantamiseksi.
- Tarjota terveydenhuollon yksiköille koulutusta kyberturvallisuuden parhaista käytännöistä.
- Tue maaseutuyhteisöjä tarjoamalla maaseudun terveysklinikoille ja muille palveluntarjoajille parhaita käytäntöjä kyberturvallisuusmurtojen ehkäisemisessä, sietokyvyssä ja koordinoinnissa liittovaltion virastojen kanssa.
- Parannetaan terveys- ja ihmispalveluiden ministeriön (HHS) ja kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) välistä koordinointia, jotta terveydenhuoltoalalla tapahtuviin kyberhyökkäyksiin voidaan reagoida paremmin.
- Nykyaikaista nykyisiä säännöksiä siten, että sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain (HIPAA) piiriin kuuluvat tahot käyttävät parhaita kyberturvallisuuskäytäntöjä.
- Vaaditaan HHS-sihteeriä kehittämään ja toteuttamaan kyberturvallisuuspoikkeamien torjuntasuunnitelma
Mikä on lakiesityksen esittelyn katalysaattori?
Lainsäädännön juuret ovat kahden puolueen terveydenhuollon kyberturvallisuustyöryhmässä, joka kokoontui vuoden 2023 lopussa etsimään keinoja puuttua terveydenhuoltoalaa vaivaavien "ennätysmäärään" kyberturvallisuushyökkäyksiä.[Iii] Lakiesityksen uudelleen esittäneet puolueettomat tukijat mainitsivat samat ongelmat kuin yli kaksi vuotta sitten, mukaan lukien palveluhäiriöiden tuhoisat seuraukset potilashoidolle ja tarve vahvistaa luottamusta arkaluonteisten terveystietojen turvallisuuteen.
Alla olevassa Toiminta ja analyysi -osiossamme perehdymme lakiesityksen vaikuttavimpien säännösten yksityiskohtiin ja keskustelemme siitä, mitä ajatella viimeaikaisesta lainsäädännön tarkistuksesta, joka vei lakiesityksen valiokunnasta ulos viime viikolla.
Toiminta ja analyysi
**Sisältyy Health-ISAC-jäsenyyteen**
[I] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Ii] https://www.help.senate.gov/rep/newsroom/press/chair-cassidy-colleagues-reintroduce-legislation-to-strengthen-cybersecurity-in-health-care
[Iii] https://www.help.senate.gov/rep/newsroom/press/ranking-member-cassidy-warner-colleagues-launch-bipartisan-senate-health-care-cybersecurity-working-group
[IV] Bidenin hallinnon loppupuolella HHS julkaisi laajan, lähes 400-sivuisen ilmoituksen ehdotetusta säännöstä HIPAA-turvallisuussäännön käsittelystä. Siirtyminen Trumpin hallintoon, sitä seurannut sääntelykehityksen jäädyttäminen hallinnon tarkastelun ajaksi ja HHS:n päätöksenteon läpinäkyvyyden väheneminen asettivat tämän työn kohtalon kyseenalaiseksi, koska HHS:llä ei ole laillista velvollisuutta jatkaa päivitystä. Kevään 2025 yhtenäinen agenda, joka on uusin agenda, jossa luetellaan osastojen ja virastojen sääntelysuunnittelu, sisältää kuitenkin edelleen toukokuulle 2025 suunnitellun lopullisen säännön.
[V] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Vi] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Vii] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[VIII] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[IX] https://www.help.senate.gov/imo/media/doc/health_care_cybersecurity_and_resiliency_act_of_2025_section-by-section.pdf
[X] Laki eteni äänin 22–1. Ainoa vastustaja oli senaattori Rand Paul [republikaani, Kentucky], joka on myös CISA 2015 -uudistuskiistan keskiössä.
- Aiheeseen liittyviä resursseja ja uutisia
- Health-ISAC Hacking Healthcare 4
- Myytit ja vastaavat tekoälytyökalut nostavat panoksia terveydenhuollon kyberturvallisuudessa
- Massachusettsin sairaala käänsi ambulanssit pois kyberhyökkäyksen jälkeen
- Podcast: Phil Englert lääkinnällisten laitteiden kyberturvallisuudesta
- Sisäpiirin uhka kasvaa jälleen
- "Menetetty tilaisuus": Yhdysvaltain hallituksen poissaolo RSAC-konferenssista jättää jyrkän tyhjyyden
- Health-ISAC Hacking Healthcare 3
- Health-ISAC Hacking Healthcare 3
- Health-ISAC:n kuukausikirje – huhtikuu 2026
- Toimenpiteiden jälkeinen raportti: Health-ISAC:n resilienssiharjoitussarja 2025