Salt la conținutul principal

Health-ISAC Hacking Healthcare 10-24-2024

Săptămâna aceasta, Hacking Healthcare de la Health-ISAC® revizuiește peisajul legislativ actual al securității cibernetice în domeniul sănătății din Statele Unite, examinând cele două proiecte de lege care au fost introduse în ultimele săptămâni. Evaluăm conținutul fiecărui proiect de lege, luăm în considerare ce ar putea însemna abordările lor în contextul politic mai larg și apoi le explorăm potențialele căi de urmat pe măsură ce ne îndreptăm spre sfârșitul ciclului legislativ actual al SUA într-un mediu politic deosebit de controversat.   

Pentru a vă reaminti, aceasta este versiunea publică a blogului Hacking Healthcare. Pentru analize și opinii suplimentare aprofundate, deveniți membru Health-ISAC și primiți versiunea TLP Amber a acestui blog (disponibilă în Portalul membrilor.)

 

10.24.24 TLP WHITE Hacking Blogul Săptămânal de Sănătate
Mărimea : 208.7 kB Format: PDF

Bine ați revenit la Hacking Healthcare®.

 

Analiza legislativă privind securitatea cibernetică a asistenței medicale din Statele Unite

 

Securitatea cibernetică în domeniul sănătății continuă să fie un subiect fierbinte de discuție pentru factorii de decizie și legislatorii din Statele Unite. În timp ce administrația Biden urmărește implementarea liniilor de bază în materie de securitate cibernetică și revizuiri ale regulii de securitate HIPAA[I] prin intermediul autorităților existente, membrii Congresului SUA au propus o legislație suplimentară pentru a îmbunătăți securitatea și reziliența sectorului medical. Să aruncăm o privire la două dintre cele mai importante facturi care au fost introduse în ultimele săptămâni.

 

Legea privind securitatea cibernetică a sănătății din 2024

 

 Legea privind securitatea cibernetică a sănătății din 2024 este deosebit de remarcabil pentru că se bucură de sprijin bipartizan și a fost introdus atât în ​​Camera Reprezentanților, cât și în Senat. Proiectul de lege cere ca Agenția de Securitate Cibernetică și Securitate a Infrastructurii (CISA) să se coordoneze cu Departamentul de Sănătate și Servicii Umane (HHS) pe mai multe linii de efort pentru a sprijini mai bine sectorul de sănătate și sănătate publică. 

Catalizatorul proiectului de lege nu îi va surprinde pe membrii Health-ISAC, deoarece atrage atenția asupra atacurilor cibernetice tot mai mari împotriva sectorului sănătății, asupra ratelor tot mai mari de încălcări ale datelor și asupra numărului tot mai mare de încălcări care afectează cantități mari de informații de sănătate protejate nesecurizate. Mai exact, autorii notează că atacurile cibernetice rău intenționate „au ca rezultat nu numai încălcări ale datelor, ci și costuri crescute de furnizare a asistenței medicale și pot afecta în cele din urmă rezultatele sănătății pacienților”.[Ii] 

 

Conţinut

La un nivel înalt, proiectul de lege îndrumă CISA și HHS să îmbunătățească securitatea cibernetică în sectorul de sănătate și sănătate publică. Mai exact, proiectul de lege prevede următoarele[Iii]:

 

Legătura CISA cu HHS: Directorul CISA va numi o persoană care să servească drept legătură cu Administrația HHS pentru Biroul de pregătire și răspuns strategic (ASPR). Această persoană trebuie să aibă expertiza corespunzătoare în domeniul securității cibernetice și va raporta direct directorului CISA. Responsabilitățile lor includ o gamă largă de activități comune CISA și HHS, inclusiv acela de a servi drept punct de contact principal, coordonarea în probleme de securitate cibernetică și incidente de securitate cibernetică, facilitarea schimbului de informații și sprijinirea formării și implementării și execuției Sectorului de sănătate și sănătate publică. Planul specific de management al riscului (vezi mai jos).

Asistență pentru partajarea informațiilor: CISA este, de asemenea, direcționată să „coordoneze și să pună la dispoziție resursele organizațiilor de partajare și analiză a informațiilor [ISAO], centrelor de schimb de informații și analiză [ISAC], consiliilor de coordonare sectorială [SCC] și entităților non-federale care primesc informații partajate prin programe gestionate de Departament.”[Iv] Această partajare trebuie să includă „informații referitoare la indicatorii de amenințări cibernetice și măsurile defensive adecvate”.[V] 

 

Instruire pentru proprietarii și operatorii din domeniul sănătății: CISA este, de asemenea, direcționată să pună la dispoziție resursele de formare pentru proprietarii și operatorii „Sectorului de sănătate și sănătate publică [active]”.[Vi] Aceste resurse de formare trebuie să acopere riscurile de securitate cibernetică și modalități de atenuare a acestor riscuri pentru sistemele informaționale. 

 

Actualizarea Planului de management al riscului specific sectorului de sănătate și sănătate publică: În termen de un an de la semnarea proiectului de lege, secretarul HHS urmează să actualizeze Planul de management al riscului specific pentru sectorul de sănătate și sănătate publică. Această actualizare trebuie să includă:

 

  • – O analiză a modului în care riscurile identificate de securitate cibernetică afectează în mod specific activele acoperite (inclusiv cele rurale, mici și mijlocii); 

 

  • – O evaluare a provocărilor cu care se confruntă proprietarii și operatorii în securizarea sistemelor de informații, a dispozitivelor medicale, a informațiilor sensibile privind sănătatea pacienților și a înregistrărilor electronice;

 

  • – O evaluare a provocărilor cu care se confruntă proprietarii și operatorii în implementarea protocoalelor de securitate cibernetică și a răspunsului la încălcări ale datelor sau atacuri de securitate cibernetică;

 

  • – O evaluare a celor mai bune practici de utilizare a resurselor de la agenție pentru a sprijini activele acoperite înainte, în timpul și după încălcarea datelor sau atacurile de securitate cibernetică;

 

  • – O evaluare a deficitului de forță de muncă relevantă în domeniul sănătății și al sănătății publice din sectorul securității cibernetice; şi

 

  • – O evaluare a celor mai accesibile și oportune modalități prin care CISA și HHS pot comunica și implementa recomandări și instrumente de securitate cibernetică către proprietarii și operatorii activelor acoperite.

 

Lista cu active de sănătate și sănătate publică cu risc ridicat: Secretarului HHS, în consultare cu directorul CISA și cu sectorul de sănătate și sănătate publică, i se oferă posibilitatea de a „stabili criterii obiective pentru a determina dacă un activ acoperit poate fi desemnat ca activ acoperit cu risc ridicat”. Această listă ar fi revizuită bianual și ar putea fi folosită de HHS pentru a „prioritiza alocarea resurselor”.[vii] 

 

rapoarte: De asemenea, CISA trebuie să furnizeze Congresului un raport – în termen de 120 de zile de la semnarea acestui proiect de lege – cu privire la nivelul de sprijin la nivelul întregii organizații și la activitățile pe care le-a oferit sectorului de sănătate și sănătate publică pentru a pregăti sectorul să facă față amenințărilor cibernetice și răspunde la atacurile cibernetice.

 

Legea privind securitatea și responsabilitatea infrastructurii de sănătate din 2024

 

 Legea privind securitatea și responsabilitatea infrastructurii de sănătate din 2024 este un proiect de lege condus de democrați care a fost introdus în Comisia pentru finanțe a Senatului în urmă cu câteva săptămâni de senatorii Wyden [D-OR] și Warner [D-VA].[Viii] Un comunicat de presă privind proiectul de lege al Comisiei Senatului pentru Finanțe a evidențiat valul actual de atacuri cibernetice perturbatoare în domeniul sănătății și convingerea că „industria asistenței medicale are unele dintre cele mai proaste practici de securitate cibernetică din țară, în ciuda importanței sale critice pentru bunăstarea americanilor și intimitate.”[Ix] 

Acest proiect de lege în sine este un document extins de 49 de pagini care este împărțit efectiv într-o secțiune privind „Consolidarea și creșterea supravegherii și respectarea standardelor de securitate pentru informațiile de sănătate” și „Asistență Medicare pentru abordarea incidentelor de securitate cibernetică”.[X] Prima secțiune urmărește să îmbunătățească securitatea cibernetică a sectorului sănătății, impunând cerințe de securitate, analize de risc, teste de stres, audituri independente și sancțiuni sporite. Ultima secțiune se concentrează pe furnizarea de finanțare pentru spitale pentru a implementa cerințele de securitate cibernetică prezentate în prima secțiune, codificând totodată autoritatea HHS de a oferi plăți accelerate și avansate Medicare ca răspuns la un incident de securitate cibernetică. 

 

Conţinut

Deoarece volumul Legea privind securitatea și responsabilitatea infrastructurii de sănătate din 2024 este prea masiv pentru a acoperi toate prevederile sale în profunzime, această secțiune se va concentra pe câteva dintre aspectele remarcabile. Vă rugăm să rețineți că este posibil ca următoarele nu să cuprindă toate nuanțele din proiectul de lege și am încuraja membrii Health-ISAC să stabilească singuri cum s-ar aplica fiecare prevedere. 

 

Cerințe de securitate: Proiectul de lege ar introduce cerințe minime de securitate cibernetică pentru entitățile acoperite și asociații de afaceri și cerințe de securitate îmbunătățite pentru entitățile acoperite și asociații de afaceri care sunt considerate a fi importante din punct de vedere sistemic sau importante pentru securitatea națională. Cerințele de securitate în sine vor fi definite ulterior printr-un proces de elaborare a regulilor care ar include colaborarea HHS, CISA și a directorului de informații naționale. Aceste cerințe ar intra în vigoare în termen de doi ani și vor fi actualizate nu mai puțin de doi ani după aceea.  

Managementul riscurilor de securitate/cerințe de raportare: În termen de trei ani de la intrarea în vigoare a factura, mai multe cerințe noi vor fi percepute entităților acoperite și asociaților de afaceri, inclusiv:[Xi]

 

  • – Efectuarea și documentarea unei evaluări anuale a riscurilor de securitate;

 

  • – Documentarea unui plan de răspuns pentru „rezolvarea rapidă și ordonată” a evenimentelor perturbatoare (inclusiv dezastrele cibernetice și naturale) care afectează propriile sisteme informatice ale unei entități și asociații săi de afaceri;

 

  • – Efectuați și documentați rezultatele unui test de stres anual pentru a evalua capacitatea de a se recupera după tipurile de evenimente perturbatoare menționate mai sus;

 

  • – Furnizați o declarație scrisă semnată de CEO și CISO care să ateste că organizația lor respectă cerințele de securitate menționate; 

 

  • – Publicați pe un site web accesibil public informații legate de conformitatea cu securitatea; şi

 

  • – Furnizați HHS documentația privind activitățile menționate mai sus.

 

În plus, proiectul de lege ar cere ca entitățile acoperite și asociații de afaceri să facă obiectul securității sporite

cerințele efectuează anual un audit independent (toate celelalte la cerere) care evaluează conformitatea cu cerințele de securitate minime sau îmbunătățite adecvate care sunt dezvoltate în primul paragraf. 

 

Sancțiuni: În general, proiectul de lege urmărește ridicarea sancțiunilor bănești civile privind entitățile acoperite pentru a stimula conformitatea. Cu toate acestea, aspectul mai demn de remarcat se referă la pedepsele penale. Proiectul de lege prevede că „oricine prezintă sau face să fie prezentată orice documentație sau raport” în legătură cu aspectele proiectului de lege „știind că o astfel de documentație sau raport conține informații false sau nu prezintă în mod intenționat în timp util sau provoacă intenționat să nu fie depus la timp”, va fi vinovat de o infracțiune. Condamnarea ar duce la o amendă de până la un milion de dolari și/sau 10 ani de închisoare.

 

Asistență monetară: Proiectul de lege recunoaște că practicile de securitate cibernetică necesare ar crea o povară financiară pe care multe entități din domeniul sănătății nu și-ar putea permite. Ca răspuns, proiectul de lege ar „oferi 800 de milioane de dolari în plăți inițiale de investiții pe parcursul a doi ani pentru ca 2,000 de spitale din mediul rural și urban să adopte standarde esențiale de securitate cibernetică” și „500 de milioane de dolari pentru a stimula toate spitalele să adopte practici îmbunătățite de securitate cibernetică”. Această asistență va fi acordată pe o perioadă de doi ani și pare foarte similară cu planul propus subliniat în documentul Buget pe scurt al anului fiscal 2025 al HHS.[Xii]

Acțiune și analiză 

 *Inclus cu calitatea de membru Health-ISAC*

[Vi] Aceasta trebuie să includă tehnologii, servicii și utilități.

[vii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf

[Viii] Senatorul Warner este interesat de securitatea cibernetică a sănătății de ceva timp, iar membrii Health-ISAC își pot aminti Securitatea cibernetică este siguranța pacientului document de politică din noiembrie 2022. Acest document poate fi găsit aici: https://www.warner.senate.gov/public/_cache/files/f/5/f5020e27-d20f-49d1-b8f0-bac298f5da0b/0320658680B8F1D29C9A94895044DA31.cips-report.pdf

[Ix] https://www.finance.senate.gov/chairmans-news/wyden-and-warner-introduce-bill-to-set-strong-cybersecurity-standards-for-american-health-care-system

[X]https://www.finance.senate.gov/imo/media/doc/health_infrastructure_security_and_accountability_act_leg_text.pdf

[Xii] Pagina 82: https://www.hhs.gov/sites/default/files/fy-2025-budget-in-brief.pdf

[xiii] Pentru cei interesați de acest proces, site-ul oficial al Congresului Statelor Unite are o prezentare generală utilă: https://www.congress.gov/legislative-process

TLP:ALB: Sub rezerva regulilor standard de copyright, informațiile TLP:WHITE pot fi distribuite fără restricții.
Conferințe, seminarii web și summituri:

https://h-isac.org/events/

Hacking Healthcare:

Hacking Healthcare este co-scris de John Banghart și Tim McGiff.

John Banghart a servit ca consilier principal pentru incidente de securitate cibernetică și pregătire și a condus eforturile Consiliilor Naționale de Securitate de a aborda incidente semnificative de securitate cibernetică, inclusiv cele de la OPM și de la Casa Albă. John este în prezent director senior al serviciilor de securitate cibernetică la Venable. Experiența sa include funcția de director al Consiliilor Naționale de Securitate pentru securitatea cibernetică federală, ca consilier senior în domeniul securității cibernetice pentru Centrele pentru Serviciile Medicare și Medicaid, ca cercetător în securitate cibernetică și expert în politici la Institutul Național de Standarde și Tehnologie (NIST) și în Birou. al Subsecretarului Comerţului pentru Standarde şi Tehnologie.

Tim McGiff este în prezent manager de program de servicii de securitate cibernetică la Venable, unde coordonează exercițiul anual de hobby al Health-ISACs și oferă actualizări legale și de reglementare pentru informarea lunară asupra amenințărilor Health-ISACs.

Cum se pot pregăti unitățile medicale pentru toate tipurile de urgențe
UnHack (podcastul): Generarea rezistenței cibernetice prin colaborarea cu Errol Weiss