Új kiberbiztonsági szabályok az amerikai egészségügyi szektorban
Az USA egészségügyi minisztériuma új kiberbiztonsági követelményeket javasol a betegek adatainak védelmére a kibertámadásokkal szemben.
Az Egyesült Államok Egészségügyi és Humán Szolgáltatások Minisztériumának (HHS) Polgári Jogi Hivatala (OCR) új kiberbiztonsági követelményeket javasol az egészségügyi szervezetek számára a betegek személyes adatainak védelmére kibertámadások esetén. A szabályok olyan jelentős kibertámadások után érkeznek, mint az, amely idén több mint 100 millió UnitedHealth páciens személyes adatait szivárogtatták ki.
A javaslat főbb pontjai
Az OCR javaslata többek között a következőket tartalmazza:
- Többfaktoros hitelesítés kötelezővé tétele a legtöbb helyzetben
- Hálózatok szegmentálása a behatolások terjedésének csökkentése érdekében
- Betegadatok titkosítása, hogy lopás esetén se lehessen hozzáférni
- Meghatározott kockázatelemzési gyakorlatok végrehajtása
- Megfelelőségi dokumentáció vezetése
A szabály a Biden-adminisztráció tavaly bejelentett kiberbiztonsági stratégiájának része. Véglegesítés után frissítené az 1996-os Egészségbiztosítási Hordozhatóságról és Elszámoltathatóságról szóló törvény (HIPAA) Biztonsági Szabályzatát, amely orvosokra, ápolási otthonokra, egészségbiztosítókra és más szereplőkre vonatkozik, és utoljára 2013-ban frissült.
Költségek és időzítés
Anne Neuberger amerikai helyettes nemzetbiztonsági tanácsadó szerint a követelmények bevezetésének költsége „becslések szerint 9 milliárd dollár az első évben, és 6 milliárd dollár a második-ötödik években”. A javaslatot január 6-án teszik közzé a Szövetségi Nyilvántartásban, ami elindítja a 60 napos nyilvános véleményezési időszakot a végső szabály meghatározása előtt.
Ez a lépés jelentős előrelépést jelent az egészségügyi adatok biztonságának megerősítésében, reagálva a növekvő kiberfenyegetésekre az ágazatban.
