Health-ISAC Hacking Healthcare 10-24-2024
Í þessari viku, Health-ISAC's Hacking Healthcare® fer yfir núverandi löggjafarlandslag um netöryggi í heilbrigðisþjónustu í Bandaríkjunum með því að skoða tvö frumvörp sem hafa verið kynnt á undanförnum vikum. Við metum innihald hvers frumvarpa, íhugum hvað nálgun þeirra gæti þýtt í hinu stóra pólitíska samhengi og könnum síðan hugsanlegar leiðir þeirra fram á við þegar við förum í átt að lok núverandi löggjafarferils Bandaríkjanna í sérstaklega umdeildu pólitísku umhverfi.
Til að minna á, þetta er opinber útgáfa af Hacking Healthcare blogginu. Til að fá frekari ítarlegar greiningar og álit skaltu gerast meðlimur í Health-ISAC og fá TLP Amber útgáfuna af þessu bloggi (fáanlegt á aðildargáttinni.)
10.24.24 TLP WHITE Vikulega bloggið um hakka heilsugæslu
stærð: 208.7 kB Snið: PDF
Velkomin aftur til Hacking Healthcare®.
Bandaríska heilbrigðiskerfið Cybersecurity Legislative Review
Netöryggi í heilbrigðisþjónustu er áfram heitt umræðuefni fyrir stjórnmálamenn og löggjafa í Bandaríkjunum. Þó að Biden-stjórnin sækist eftir innleiðingu á grunnlínum netöryggis og endurskoðun á HIPAA öryggisreglunni[I] í gegnum núverandi yfirvöld hafa þingmenn Bandaríkjaþings lagt til viðbótarlöggjöf til að bæta öryggi og seiglu heilbrigðisgeirans. Lítum á tvö af mikilvægari frumvörpum sem hafa verið lögð fram á undanförnum vikum.
Lög um netöryggi í heilbrigðisþjónustu frá 2024
The Lög um netöryggi í heilbrigðisþjónustu frá 2024 er sérstaklega áberandi vegna þess að það nýtur stuðnings tveggja flokka og hefur verið kynnt bæði í fulltrúadeildinni og öldungadeildinni. Frumvarpið krefst þess að Netöryggis- og innviðaöryggisstofnunin (CISA) samhæfi sig við heilbrigðis- og mannþjónustudeild (HHS) um nokkrar átakslínur til að styðja betur við heilbrigðis- og lýðheilsusviðið.
Hvatinn að frumvarpinu mun ekki koma meðlimum Health-ISAC á óvart þar sem það vekur athygli á auknum netárásum á heilbrigðisgeirann, auknum tíðni gagnabrota og auknum fjölda innbrota sem hafa áhrif á mikið magn ótryggðra verndaðra heilbrigðisupplýsinga. Sérstaklega taka höfundarnir fram að skaðlegar netárásir „leiða ekki aðeins af sér gagnabrot, heldur einnig aukinn afhendingarkostnað í heilbrigðisþjónustu og geta að lokum haft áhrif á heilsufar sjúklinga.[Ii]
innihald
Á háu stigi beinir frumvarpið því til CISA og HHS að bæta netöryggi í heilbrigðis- og lýðheilsusviði. Í frumvarpinu er sérstaklega gert ráð fyrir eftirfarandi[Iii]:
CISA tengsl við HHS: Framkvæmdastjóri CISA mun skipa einstakling til að þjóna sem tengiliður HHS' Administration for Strategic Preparedness and Response Office (ASPR). Þessi einstaklingur á að hafa viðeigandi sérfræðiþekkingu á netöryggi og mun heyra beint undir forstjóra CISA. Ábyrgð þeirra felur í sér margvíslega sameiginlega starfsemi CISA og HHS, þar á meðal að þjóna sem aðaltengiliður, samræma netöryggismál og netöryggisatvik, auðvelda upplýsingamiðlun og styðja við þjálfun og framkvæmd og framkvæmd heilbrigðis- og lýðheilsusviðs. sérstaka áhættustjórnunaráætlun (sjá hér að neðan).
Stuðningur við upplýsingamiðlun: CISA er einnig beint til að „samræma og gera úrræði aðgengilegt fyrir upplýsingamiðlunar- og greiningarstofnanir [ISAO], upplýsingamiðlun og greiningarmiðstöðvum [ISAC], samhæfingarráðum geirans [SCC] og aðilum sem ekki eru sambandsríki sem eru að fá upplýsingar sem deilt er í gegnum áætlanir í umsjón deildarinnar."[Iv] Þessi miðlun á að innihalda „upplýsingar sem tengjast vísbendingum um netógn og viðeigandi varnarráðstafanir.[V]
Þjálfun fyrir eigendur og rekstraraðila heilbrigðisþjónustu: CISA er einnig beint að því að gera þjálfunarúrræði aðgengilegt eigendum og rekstraraðilum „heilsugæslu og lýðheilsusviðs [eigna].[Vi] Þessi þjálfunarúrræði eiga að ná yfir netöryggisáhættu og leiðir til að draga úr þeirri áhættu fyrir upplýsingakerfi.
Uppfærsla á áhættustjórnunaráætlun fyrir heilsugæslu og lýðheilsusvið: Innan eins árs frá því að frumvarpið var undirritað að lögum á framkvæmdastjóri HHS að uppfæra áhættustjórnunaráætlun fyrir heilsugæslu og lýðheilsusvið. Sú uppfærsla á að innihalda:
- – Greining á því hvernig auðkennd netöryggisáhætta hefur sérstaklega áhrif á eignir sem eru tryggðar (þar á meðal þær sem eru dreifbýli, litlar og meðalstórar);
- - Mat á áskorunum sem eigendur og rekstraraðilar standa frammi fyrir við að tryggja upplýsingakerfi, lækningatæki, viðkvæmar heilsufarsupplýsingar fyrir sjúklinga og rafrænar skrár;
- - Mat á áskorunum sem eigendur og rekstraraðilar standa frammi fyrir við að innleiða netöryggissamskiptareglur og bregðast við gagnabrotum eða netöryggisárásum;
- – Mat á bestu starfsvenjum fyrir nýtingu fjármagns frá stofnuninni til að styðja við eignir sem falla undir, fyrir, á meðan og eftir gagnabrot eða netöryggisárásir;
- – Mat á viðkomandi skorti á vinnuafli í heilbrigðisþjónustu og lýðheilsusviði netöryggis; og
- – Mat á aðgengilegustu og tímabærustu leiðum CISA og HHS til að miðla og dreifa tilmælum og tækjum um netöryggi til eigenda og rekstraraðila eigna sem falla undir.
Listi yfir áhættusama heilsugæslu og lýðheilsueignir: Framkvæmdastjóra HHS, í samráði við forstjóra CISA og heilbrigðis- og lýðheilsusviði, er gefinn kostur á að „koma á hlutlægum viðmiðum til að ákvarða hvort tryggða eign megi tilgreina sem áhættutryggða eign. Þessi listi yrði endurskoðaður annað hvert ár og hann gæti verið notaður af HHS til að „forgangsraða auðlindaúthlutun“.[Vii]
Skýrslur: CISA á einnig að afhenda þinginu skýrslu – innan 120 daga frá því að þetta frumvarp hefur verið undirritað í lög – um stuðning og starfsemi sem það hefur veitt heilbrigðis- og lýðheilsusviði á öllu skipulagi sínu til að undirbúa geirann til að takast á við netógnir og bregðast við netárásum.
Lög um öryggi og ábyrgð heilbrigðisinnviða frá 2024
The Lög um öryggi og ábyrgð heilbrigðisinnviða frá 2024 er frumvarp undir forystu demókrata sem var kynnt í fjármálanefnd öldungadeildarinnar fyrir nokkrum vikum síðan af öldungadeildarþingmönnum Wyden [D-OR] og Warner [D-VA].[viii] Í fréttatilkynningu um frumvarpið frá fjármálanefnd öldungadeildarinnar var lögð áhersla á núverandi bylgju truflandi netárása í heilbrigðisþjónustu og þá trú að „heilbrigðisiðnaðurinn búi við verstu netöryggishætti í þjóðinni þrátt fyrir mikilvægi þess fyrir velferð Bandaríkjamanna og næði."[Ix]
Þetta frumvarp sjálft er umfangsmikið 49 blaðsíðna skjal sem er í raun skipt í hluta um „Eflingu og aukið eftirlit með og samræmi við öryggisstaðla fyrir heilbrigðisupplýsingar“ og „Medicare aðstoð til að takast á við netöryggisatvik.[X] Fyrri hlutinn er að reyna að bæta netöryggi heilbrigðisgeirans með því að setja öryggiskröfur, áhættugreiningu, álagspróf, óháðar úttektir og auknar viðurlög. Síðarnefndi hlutinn er lögð áhersla á að veita fjármagni til sjúkrahúsa til að innleiða netöryggiskröfurnar sem lýst er í fyrsta hlutanum, en jafnframt að kóða heimild HHS til að veita flýtimeðferð og fyrirframgreiðslur Medicare til að bregðast við netöryggisatviki.
innihald
Vegna þess að Lög um öryggi og ábyrgð heilbrigðisinnviða frá 2024 er of umfangsmikið til að ná yfir öll ákvæði þess ítarlega, mun þessi kafli einblína á nokkra af þeim þáttum sem standa áberandi. Vinsamlega hafðu í huga að ef til vill fangar eftirfarandi ekki öll blæbrigði frumvarpsins og við hvetjum meðlimi Health-ISAC til að ákveða sjálfir hvernig hvert ákvæði ætti við.
Öryggiskröfur: Með frumvarpinu yrðu settar inn lágmarkskröfur um netöryggi fyrir aðila og viðskiptafélaga sem falla undir og auknar öryggiskröfur fyrir aðila og viðskiptafélaga sem falla undir sem eru taldar kerfislega mikilvægar eða mikilvægar fyrir þjóðaröryggi. Öryggiskröfurnar sjálfar yrðu skilgreindar síðar með reglusetningarferli sem myndi fela í sér samvinnu HHS, CISA og forstjóra leyniþjónustunnar. Þessar kröfur tækju gildi innan tveggja ára og yrðu uppfærðar eigi sjaldnar en á tveggja ára fresti eftir það.
Öryggisáhættustýring/skýrslukröfur: Innan þriggja ára frá setningu laga frumvarpsins yrðu lagðar nokkrar nýjar kröfur á aðila og viðskiptafélaga sem falla undir, þar á meðal:[xi]
- – Gera og skjalfesta árlegt öryggisáhættumat;
- – Skjalfesta viðbragðsáætlun fyrir „hraða og skipulega úrlausn“ truflandi atburða (þar á meðal net- og náttúruhamfarir) sem hafa áhrif á eigin upplýsingakerfi einingarinnar og viðskiptafélaga hennar;
- – Framkvæma og skjalfesta niðurstöður árlegs álagsprófs til að meta getu til að jafna sig eftir þær tegundir truflandi atburða sem nefnd eru hér að ofan;
- – Gefðu skriflega yfirlýsingu undirritaða af forstjóra og CISO þar sem fram kemur að stofnun þeirra sé í samræmi við öryggiskröfur;
- - Birta á almenningi aðgengilegri vefsíðu upplýsingar sem tengjast öryggisreglum; og
- - Láttu HHS skjöl um starfsemina sem nefnd eru hér að ofan.
Auk þess myndi frumvarpið krefjast þess að aðilar og viðskiptafélagar sem falla undir aukið öryggi
kröfur gera óháða úttekt á ársgrundvelli (allt annað sé þess óskað) sem metur hvort farið sé að viðeigandi lágmarks- eða auknum öryggiskröfum sem verið er að þróa í 1. mgr.
Refsingar: Í frumvarpinu er almennt stefnt að því að hækka borgaraleg viðurlög um aðila sem falla undir til að hvetja til að farið sé að reglum. Hins vegar er athyglisverðara atriðið varðandi refsingar. Í frumvarpinu segir að „hver sem leggur fram eða lætur leggja fram skjöl eða skýrslu“ í tengslum við þætti frumvarpsins „vitandi að slík gögn eða skýrsla innihalda rangar upplýsingar, eða vísvitandi vanrækir að leggja fram tímanlega, eða veldur því að tímanlega lögð fram,“ verður sekur um brot. Sakfelling myndi varða allt að einni milljón dollara sekt og/eða 10 ára fangelsi.
Peningaleg aðstoð: Í frumvarpinu er viðurkennt að þær netöryggisaðferðir sem krafist er myndu skapa fjárhagslega byrði sem margar heilbrigðisstofnanir hefðu ekki efni á. Til að bregðast við, myndi frumvarpið „veita 800 milljónir dala í fyrirframgreiðslur til fjárfestinga á tveimur árum fyrir 2,000 öryggisnet sjúkrahúsa í dreifbýli og þéttbýli til að samþykkja nauðsynlega netöryggisstaðla“ og „500 milljónir dala til að hvetja öll sjúkrahús til að taka upp aukna netöryggisaðferðir. Þessi aðstoð yrði veitt á tveggja ára tímabili og virðist mjög svipuð fyrirhugaðri áætlun sem lýst er í fjárhagsáætlun HHS fjárhagsársins 2025 í stuttu máli.[xii]
Aðgerð og greining
*Fylgir með Health-ISAC aðild*
[Ii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Iii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Iv] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[V] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Vi] Þetta á að fela í sér tækni, þjónustu og tól.
[Vii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[viii] Öldungadeildarþingmaðurinn Warner hefur haft áhuga á netöryggi í heilbrigðisþjónustu um nokkurt skeið og meðlimir Health-ISAC muna kannski eftir hans Netöryggi er öryggi sjúklinga stefnuskrá frá nóvember 2022. Skýrsluna má finna hér: https://www.warner.senate.gov/public/_cache/files/f/5/f5020e27-d20f-49d1-b8f0-bac298f5da0b/0320658680B8F1D29C9A94895044DA31.cips-report.pdf
[Ix] https://www.finance.senate.gov/chairmans-news/wyden-and-warner-introduce-bill-to-set-strong-cybersecurity-standards-for-american-health-care-system
[X]https://www.finance.senate.gov/imo/media/doc/health_infrastructure_security_and_accountability_act_leg_text.pdf
[xii] Page 82: https://www.hhs.gov/sites/default/files/fy-2025-budget-in-brief.pdf
[xiii] Fyrir þá sem hafa áhuga á þessu ferli hefur opinber vefsíða Bandaríkjaþings gagnlegt yfirlit: https://www.congress.gov/legislative-process
Hacking Healthcare er samskrifuð af John Banghart og Tim McGiff.
John Banghart hefur starfað sem aðalráðgjafi um netöryggisatvik og viðbúnað og stýrt viðleitni þjóðaröryggisráða til að taka á mikilvægum netöryggisatvikum, þar á meðal í OPM og Hvíta húsinu. John er nú yfirmaður netöryggisþjónustu hjá Venable. Bakgrunnur hans felur í sér að starfa sem yfirmaður þjóðaröryggisráða fyrir alríkisnetöryggi, sem yfirmaður netöryggisráðgjafa fyrir miðstöðvar fyrir Medicare og Medicaid Services, sem netöryggisrannsóknarmaður og stefnusérfræðingur hjá National Institute of Standards and Technology (NIST) og á skrifstofunni. aðstoðarviðskiptaráðherra um staðla og tækni.
Tim McGiff er eins og er dagskrárstjóri netöryggisþjónustu hjá Venable, þar sem hann samhæfir árlega áhugamálsæfingu Health-ISACs og veitir laga- og reglugerðaruppfærslur fyrir mánaðarlega ógnarskýrslu Health-ISACs.
- Hægt er að ná í Jón kl jbanghart@h-isac.org og jfbanghart@venable.com.
- Hægt er að ná í Tim kl tmcgiff@venable.com.
- Tengdar heimildir og fréttir
- Aukning á CalPhishing-árásum í heilbrigðisgeiranum
- Bestu starfshættir við stjórnun auðkenningar og aðgangsstýringar þriðja aðila
- Það sem leiðtogar í heilbrigðisgeiranum þurfa að vita um netöryggi árið 2026-2027
- Hvaða áhrif hefur tilskipun Trumps um gervigreind á heilbrigðisgeirann?
- Skýrsla um ógnlandslag heilbrigðisþjónustu og félagsaðstoðar
- Gervigreind í heilbrigðisþjónustu er áhættusöm tillaga
- Live@eXchange Dagur 2 – Öryggisgreinandi lækningatækja hjá Health-ISAC
- Health-ISAC Hacking Healthcare 6-3-2026
- Nýjar veikleikar sem beinast að heilbrigðisgeiranum
- Mánaðarlegt fréttabréf – júní 2026