स्वास्थ्य-ISAC हैकिंग हेल्थकेयर 10-24-2024

इस सप्ताह, हेल्थ-आईएसएसी की हैकिंग हेल्थकेयर^® पिछले कुछ हफ़्तों में पेश किए गए दो विधेयकों की जाँच करके संयुक्त राज्य अमेरिका में वर्तमान स्वास्थ्य सेवा साइबर सुरक्षा विधायी परिदृश्य की समीक्षा की गई है। हम प्रत्येक विधेयक की विषय-वस्तु का मूल्यांकन करते हैं, विचार करते हैं कि उनके दृष्टिकोण का व्यापक राजनीतिक संदर्भ में क्या अर्थ हो सकता है, और फिर उनके संभावित आगे के रास्तों का पता लगाते हैं क्योंकि हम विशेष रूप से विवादास्पद राजनीतिक माहौल में वर्तमान अमेरिकी विधायी चक्र के अंत की ओर बढ़ रहे हैं।   

याद दिला दें कि यह हैकिंग हेल्थकेयर ब्लॉग का सार्वजनिक संस्करण है। अतिरिक्त गहन विश्लेषण और राय के लिए, हेल्थ-आईएसएसी के सदस्य बनें और इस ब्लॉग का टीएलपी एम्बर संस्करण प्राप्त करें (सदस्य पोर्टल में उपलब्ध है।)

10.24.24 टीएलपी व्हाइट हैकिंग हेल्थकेयर साप्ताहिक ब्लॉग
साइज: 208.7 kB प्रारूप: पीडीएफ

हैकिंग हेल्थकेयर में आपका स्वागत है^®.

संयुक्त राज्य अमेरिका स्वास्थ्य सेवा साइबर सुरक्षा विधायी समीक्षा

स्वास्थ्य सेवा साइबर सुरक्षा संयुक्त राज्य अमेरिका में नीति निर्माताओं और कानून निर्माताओं के लिए चर्चा का एक गर्म विषय बनी हुई है। जबकि बिडेन प्रशासन साइबर सुरक्षा बेसलाइन के कार्यान्वयन और HIPAA सुरक्षा नियम में संशोधनों का पीछा करता है[I] मौजूदा अधिकारियों के माध्यम से, अमेरिकी कांग्रेस के सदस्य स्वास्थ्य सेवा क्षेत्र की सुरक्षा और लचीलेपन को बेहतर बनाने के लिए अतिरिक्त कानून का प्रस्ताव कर रहे हैं। आइए पिछले कुछ हफ़्तों में पेश किए गए दो सबसे महत्वपूर्ण विधेयकों पर नज़र डालें।

हेल्थकेयर साइबर सुरक्षा अधिनियम 2024

RSI हेल्थकेयर साइबर सुरक्षा अधिनियम 2024 यह विशेष रूप से उल्लेखनीय है क्योंकि इसे दोनों दलों का समर्थन प्राप्त है और इसे प्रतिनिधि सभा और सीनेट दोनों में पेश किया गया है। बिल में साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA) को स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र को बेहतर समर्थन देने के लिए कई तरह के प्रयासों पर स्वास्थ्य और मानव सेवा विभाग (HHS) के साथ समन्वय करने के लिए कहा गया है। 

बिल के लिए उत्प्रेरक स्वास्थ्य-आईएसएसी सदस्यों को आश्चर्यचकित नहीं करेगा, क्योंकि यह स्वास्थ्य सेवा क्षेत्र के खिलाफ बढ़ते साइबर हमलों, डेटा उल्लंघनों की बढ़ती दरों और असुरक्षित संरक्षित स्वास्थ्य जानकारी की बड़ी मात्रा को प्रभावित करने वाले उल्लंघनों की बढ़ती संख्या पर ध्यान आकर्षित करता है। विशेष रूप से, लेखक ध्यान देते हैं कि दुर्भावनापूर्ण साइबर हमलों के परिणामस्वरूप "न केवल डेटा उल्लंघन होता है, बल्कि स्वास्थ्य सेवा वितरण लागत भी बढ़ जाती है, और अंततः रोगी के स्वास्थ्य परिणामों को प्रभावित कर सकता है।"[द्वितीय] 

सामग्री

उच्च स्तर पर, बिल CISA और HHS को स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र में साइबर सुरक्षा में सुधार करने का निर्देश देता है। विशेष रूप से, बिल निम्नलिखित की मांग करता है[Iii]:

HHS के साथ CISA संपर्क: CISA के निदेशक HHS के प्रशासन के लिए रणनीतिक तैयारी और प्रतिक्रिया कार्यालय (ASPR) के संपर्क अधिकारी के रूप में काम करने के लिए एक व्यक्ति को नियुक्त करेंगे। इस व्यक्ति के पास उचित साइबर सुरक्षा विशेषज्ञता होनी चाहिए और वह सीधे CISA के निदेशक को रिपोर्ट करेगा। उनकी जिम्मेदारियों में संयुक्त CISA और HHS गतिविधियों की एक विस्तृत श्रृंखला शामिल है, जिसमें प्राथमिक संपर्क बिंदु के रूप में कार्य करना, साइबर सुरक्षा मामलों और साइबर सुरक्षा घटनाओं पर समन्वय करना, सूचना साझा करने की सुविधा प्रदान करना और प्रशिक्षण का समर्थन करना और स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र-विशिष्ट जोखिम प्रबंधन योजना (नीचे देखें) का कार्यान्वयन और निष्पादन शामिल है।

सूचना साझा करने हेतु समर्थन: CISA को यह भी निर्देश दिया गया है कि वह “सूचना साझाकरण और विश्लेषण संगठनों [ISAO], सूचना साझाकरण और विश्लेषण केंद्रों [ISAC], क्षेत्र समन्वय परिषदों [SCC] और गैर-संघीय संस्थाओं के साथ समन्वय करे और उन्हें संसाधन उपलब्ध कराए, जो विभाग द्वारा प्रबंधित कार्यक्रमों के माध्यम से साझा की गई जानकारी प्राप्त कर रहे हैं।”[Iv] इस साझाकरण में "साइबर खतरे के संकेतकों और उचित रक्षात्मक उपायों से संबंधित जानकारी" शामिल होगी।[V] 

स्वास्थ्य सेवा मालिकों और संचालकों के लिए प्रशिक्षण: सीआईएसए को "स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र [परिसंपत्तियों]" के मालिकों और संचालकों को प्रशिक्षण संसाधन उपलब्ध कराने का भी निर्देश दिया गया है।[Vi] इन प्रशिक्षण संसाधनों का उद्देश्य साइबर सुरक्षा जोखिमों और सूचना प्रणालियों के लिए उन जोखिमों को कम करने के तरीकों को कवर करना है। 

स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र-विशिष्ट जोखिम प्रबंधन योजना को अद्यतन करना: विधेयक के कानून बनने के एक वर्ष के भीतर, HHS सचिव को स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र-विशिष्ट जोखिम प्रबंधन योजना को अद्यतन करना है। उस अद्यतन में निम्नलिखित शामिल होंगे:

• – विश्लेषण कि कैसे पहचाने गए साइबर सुरक्षा जोखिम विशेष रूप से कवर की गई परिसंपत्तियों (ग्रामीण, छोटे और मध्यम आकार की परिसंपत्तियों सहित) को प्रभावित करते हैं; 

• - सूचना प्रणालियों, चिकित्सा उपकरणों, संवेदनशील रोगी स्वास्थ्य सूचना और इलेक्ट्रॉनिक रिकॉर्ड को सुरक्षित रखने में मालिकों और संचालकों के सामने आने वाली चुनौतियों का मूल्यांकन;

• – साइबर सुरक्षा प्रोटोकॉल को लागू करने और डेटा उल्लंघनों या साइबर सुरक्षा हमलों का जवाब देने में मालिकों और ऑपरेटरों के सामने आने वाली चुनौतियों का मूल्यांकन;

• – डेटा उल्लंघनों या साइबर सुरक्षा हमलों से पहले, उसके दौरान और बाद में कवर की गई परिसंपत्तियों का समर्थन करने के लिए एजेंसी से संसाधनों के उपयोग के लिए सर्वोत्तम प्रथाओं का मूल्यांकन;

• – प्रासंगिक स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र साइबर सुरक्षा कार्यबल की कमी का आकलन; और

• – कवर की गई परिसंपत्तियों के मालिकों और संचालकों को साइबर सुरक्षा अनुशंसाओं और उपकरणों को संप्रेषित करने और तैनात करने के लिए CISA और HHS के लिए सबसे सुलभ और समय पर तरीकों का मूल्यांकन।

उच्च जोखिम वाली स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य परिसंपत्तियों की सूची: HHS के सचिव को CISA निदेशक और हेल्थकेयर और सार्वजनिक स्वास्थ्य क्षेत्र के परामर्श से, “यह निर्धारित करने के लिए वस्तुनिष्ठ मानदंड स्थापित करने का अवसर दिया जाता है कि क्या किसी कवर की गई संपत्ति को उच्च जोखिम वाली कवर की गई संपत्ति के रूप में नामित किया जा सकता है।” इस सूची को हर दो साल में संशोधित किया जाएगा, और इसका उपयोग HHS द्वारा “संसाधन आवंटन को प्राथमिकता देने” के लिए किया जा सकता है।[सप्तम] 

रिपोर्ट: सीआईएसए को कांग्रेस को एक रिपोर्ट भी देनी है - इस विधेयक के कानून बनने के 120 दिनों के भीतर - जिसमें संगठन-व्यापी स्तर पर स्वास्थ्य सेवा और सार्वजनिक स्वास्थ्य क्षेत्र को प्रदान की गई सहायता और गतिविधियों के बारे में बताया जाएगा, ताकि क्षेत्र को साइबर खतरों का सामना करने और साइबर हमलों का जवाब देने के लिए तैयार किया जा सके।

स्वास्थ्य अवसंरचना सुरक्षा और जवाबदेही अधिनियम 2024

RSI स्वास्थ्य अवसंरचना सुरक्षा और जवाबदेही अधिनियम 2024 यह एक डेमोक्रेटिक नेतृत्व वाला विधेयक है जिसे कई सप्ताह पहले सीनेटर वाइडन [डी-ओआर] और वार्नर [डी-वीए] द्वारा सीनेट की वित्त समिति में पेश किया गया था।[आठवीं] सीनेट की वित्त समिति की ओर से विधेयक पर जारी एक प्रेस विज्ञप्ति में विघटनकारी स्वास्थ्य देखभाल साइबर हमलों की वर्तमान लहर पर प्रकाश डाला गया और यह विश्वास व्यक्त किया गया कि "अमेरिकियों की भलाई और गोपनीयता के लिए इसके महत्वपूर्ण महत्व के बावजूद स्वास्थ्य देखभाल उद्योग में देश की सबसे खराब साइबर सुरक्षा प्रथाएं हैं।"[IX] 

यह विधेयक स्वयं एक विशाल 49-पृष्ठ का दस्तावेज है, जो प्रभावी रूप से “स्वास्थ्य सूचना के लिए सुरक्षा मानकों की निगरानी और अनुपालन को मजबूत करना और बढ़ाना” और “साइबर सुरक्षा घटनाओं को संबोधित करने के लिए चिकित्सा सहायता” पर दो खंडों में विभाजित है।[X] पहला खंड सुरक्षा आवश्यकताओं, जोखिम विश्लेषण, तनाव परीक्षण, स्वतंत्र ऑडिट और बढ़े हुए दंड को अनिवार्य करके स्वास्थ्य सेवा क्षेत्र की साइबर सुरक्षा में सुधार करने की कोशिश कर रहा है। दूसरा खंड पहले खंड में उल्लिखित साइबर सुरक्षा आवश्यकताओं को लागू करने के लिए अस्पतालों को धन मुहैया कराने पर केंद्रित है, साथ ही साइबर सुरक्षा घटना के जवाब में त्वरित और अग्रिम मेडिकेयर भुगतान प्रदान करने के लिए HHS के अधिकार को संहिताबद्ध करता है। 

सामग्री

क्योंकि स्वास्थ्य अवसंरचना सुरक्षा और जवाबदेही अधिनियम 2024 यह बिल इतना बड़ा है कि इसके सभी प्रावधानों को पूरी तरह से कवर नहीं किया जा सकता, इसलिए यह खंड कई प्रमुख पहलुओं पर ध्यान केंद्रित करेगा। कृपया ध्यान रखें कि निम्नलिखित बिल के सभी पहलुओं को शामिल नहीं कर सकता है, और हम हेल्थ-आईएसएसी सदस्यों को प्रोत्साहित करेंगे कि वे स्वयं निर्धारित करें कि प्रत्येक प्रावधान कैसे लागू होगा। 

सुरक्षा आवश्यकताएँ: यह विधेयक कवर की गई संस्थाओं और व्यावसायिक सहयोगियों के लिए न्यूनतम साइबर सुरक्षा आवश्यकताओं और कवर की गई संस्थाओं और व्यावसायिक सहयोगियों के लिए बढ़ी हुई सुरक्षा आवश्यकताओं को पेश करेगा जिन्हें प्रणालीगत रूप से महत्वपूर्ण या राष्ट्रीय सुरक्षा के लिए महत्वपूर्ण माना जाता है। सुरक्षा आवश्यकताओं को बाद में नियम बनाने की प्रक्रिया के माध्यम से परिभाषित किया जाएगा जिसमें HHS, CISA और राष्ट्रीय खुफिया निदेशक का सहयोग शामिल होगा। ये आवश्यकताएं दो साल के भीतर प्रभावी होंगी और उसके बाद हर दो साल में अपडेट की जाएंगी।  

सुरक्षा जोखिम प्रबंधन / रिपोर्टिंग आवश्यकताएँ: अधिनियमन के तीन वर्ष के भीतर विधेयक के अंतर्गत आने वाली संस्थाओं और व्यावसायिक सहयोगियों पर कई नई आवश्यकताएं लागू की जाएंगी, जिनमें शामिल हैं:[क्सी]

• – वार्षिक सुरक्षा जोखिम मूल्यांकन का संचालन और दस्तावेजीकरण;

• – किसी इकाई की अपनी सूचना प्रणालियों और उसके व्यावसायिक सहयोगियों को प्रभावित करने वाली विघटनकारी घटनाओं (साइबर और प्राकृतिक आपदाओं सहित) के “तेज और व्यवस्थित समाधान” के लिए प्रतिक्रिया योजना का दस्तावेजीकरण करना;

• – ऊपर उल्लिखित विघटनकारी घटनाओं से उबरने की क्षमता का आकलन करने के लिए वार्षिक तनाव परीक्षण का संचालन और उसके परिणामों का दस्तावेजीकरण करना;

• – सीईओ और सीआईएसओ द्वारा हस्ताक्षरित एक लिखित बयान प्रदान करें जिसमें कहा गया हो कि उनका संगठन उल्लिखित सुरक्षा आवश्यकताओं के अनुपालन में है; 

• – सुरक्षा अनुपालन से संबंधित जानकारी सार्वजनिक रूप से सुलभ वेबसाइट पर प्रकाशित करें; और

• – एचएचएस को उपरोक्त गतिविधियों का दस्तावेज उपलब्ध कराएं।

इसके अतिरिक्त, विधेयक में यह अपेक्षा की जाएगी कि कवर की गई संस्थाएं और व्यावसायिक सहयोगी बढ़ी हुई सुरक्षा के अधीन होंगे

आवश्यकताओं के अनुसार, वार्षिक आधार पर एक स्वतंत्र ऑडिट आयोजित किया जाता है (अन्य सभी अनुरोध पर) जो पहले पैराग्राफ में विकसित की जा रही उचित न्यूनतम या उन्नत सुरक्षा आवश्यकताओं के अनुपालन का आकलन करता है। 

दंड: सामान्य तौर पर, विधेयक में नागरिक मौद्रिक दंड को बढ़ाने का प्रयास किया गया है अनुपालन को प्रोत्साहित करने के लिए कवर की गई संस्थाओं पर। हालाँकि, अधिक उल्लेखनीय पहलू आपराधिक दंड से संबंधित है। बिल में कहा गया है कि "जो कोई भी व्यक्ति बिल के पहलुओं के संबंध में कोई दस्तावेज या रिपोर्ट प्रस्तुत करता है, या प्रस्तुत करने का कारण बनता है" "यह जानते हुए कि ऐसे दस्तावेज या रिपोर्ट में गलत जानकारी है, या जानबूझकर समय पर प्रस्तुत करने में विफल रहता है, या जानबूझकर समय पर प्रस्तुत नहीं करने का कारण बनता है," एक गंभीर अपराध का दोषी होगा। दोषी पाए जाने पर एक मिलियन डॉलर तक का जुर्माना और/या 10 साल की जेल हो सकती है।

मौद्रिक सहायता: बिल में यह माना गया है कि साइबर सुरक्षा प्रथाओं की आवश्यकता होने से वित्तीय बोझ बढ़ेगा जिसे कई स्वास्थ्य सेवा संस्थाएँ वहन नहीं कर सकतीं। जवाब में, बिल "800 ग्रामीण और शहरी सुरक्षा नेट अस्पतालों को आवश्यक साइबर सुरक्षा मानकों को अपनाने के लिए दो वर्षों में $2,000 मिलियन का अग्रिम निवेश भुगतान प्रदान करेगा" और "सभी अस्पतालों को उन्नत साइबर सुरक्षा प्रथाओं को अपनाने के लिए प्रोत्साहित करने के लिए $500 मिलियन प्रदान करेगा।" यह सहायता दो साल की अवधि में दी जाएगी और यह एचएचएस के वित्तीय वर्ष 2025 के बजट में उल्लिखित प्रस्तावित योजना के बहुत समान प्रतीत होती है।[Xii]

कार्रवाई और विश्लेषण 

 *स्वास्थ्य-आईएसएसी सदस्यता के साथ शामिल*

• संबंधित संसाधन एवं समाचार
• स्वास्थ्य क्षेत्र में कैलफ़िशिंग हमलों का बढ़ता प्रकोप
• तृतीय-पक्ष पहचान और पहुंच प्रबंधन के प्रबंधन के लिए सर्वोत्तम अभ्यास
• स्वास्थ्य सेवा क्षेत्र के नेताओं को 2026-2027 में साइबर सुरक्षा के बारे में क्या जानना आवश्यक है?
• ट्रंप के एआई संबंधी कार्यकारी आदेश का स्वास्थ्य सेवा क्षेत्र पर क्या प्रभाव पड़ेगा?
• स्वास्थ्य सेवा और सामाजिक सहायता संबंधी खतरे की स्थिति पर रिपोर्ट
• स्वास्थ्य सेवा में एजेंटिक एआई एक जोखिम भरा प्रस्ताव है।
• Live@eXchange दिवस 2 – Health-ISAC मेडिकल डिवाइस सुरक्षा विश्लेषक
• स्वास्थ्य-ISAC हैकिंग हेल्थकेयर 6-3-2026
• स्वास्थ्य सेवा उद्योग को लक्षित करते हुए नई कमजोरियां
• मासिक समाचार पत्र – जून 2026