ในช่วงทศวรรษที่ผ่านมาการละเมิดความปลอดภัยทางไซเบอร์นั้นพุ่งสูงขึ้นโดยเฉพาะอย่างยิ่งในการดูแลสุขภาพ การโจมตีการดูแลสุขภาพการเปลี่ยนแปลงเป็นหนึ่งเดียว การโทรปลุกครั้งใหญ่มีส่วนร่วมในการปฏิรูปการประกาศการตัดสินใจที่เสนอโดย HHS ในเดือนธันวาคม 2567 ได้รับการออกแบบมาเพื่อเสริมสร้างข้อกำหนดด้านความปลอดภัยของไซเบอร์
สิ่งนี้เป็นไปตาม HHS เป้าหมายประสิทธิภาพของไซเบอร์ที่เปิดตัวในปี 2566 ส่งสัญญาณการผลักดันมาตรการรักษาความปลอดภัยที่เข้มงวดกว่าทั่วทั้งอุตสาหกรรม
แม้จะมีข้อเท็จจริงที่ว่าพระราชบัญญัติ HITECH ได้ลงนามมานานกว่า 15 ปีแล้ว HIPAA ยังไม่ได้รับการติดตามด้วยภัยคุกคามไซเบอร์สมัยใหม่ผู้เชี่ยวชาญกล่าว NPRM มีจุดมุ่งหมายเพื่อกำจัดความคลุมเครือในกฎความปลอดภัยดั้งเดิมและเสริมสร้างมาตรการป้องกันที่จำเป็น
การเปลี่ยนแปลงที่แนะนำที่สำคัญรวมถึงสิ่งต่อไปนี้:
-
เพื่อให้ข้อกำหนดด้านความปลอดภัยทั้งหมดบังคับโดยการกำจัดมาตรฐาน “ที่อยู่ได้”
-
ต้องใช้โปรแกรมการจัดการสินทรัพย์และเทคโนโลยีที่กว้างขวางรวมถึงไดอะแกรมเครือข่ายที่บันทึกไว้บัตรถ่ายโอนแผนที่สำหรับข้อมูลสุขภาพส่วนบุคคลอิเล็กทรอนิกส์ (Ephi) การทดสอบการเจาะประจำปีและการสแกนช่องโหว่ครึ่งปี
-
การทำให้เป็นทางการของโปรแกรมความปลอดภัยและการจัดการความเสี่ยงด้วยนโยบายที่มีโครงสร้างการประเมินตนเองที่ถูกต้องและการลงทะเบียนความเสี่ยงที่บันทึกไว้
-
อีการตอบสนองของเหตุการณ์และการกู้คืนภัยพิบัติด้วยข้อกำหนดการฟื้นฟู 72 ชั่วโมงสำหรับบริการที่สำคัญ
-
การเสริมสร้างการตรวจสอบการจัดการการเข้าถึงเพื่อให้แน่ใจว่ามีการอัปเดตพนักงานในเวลาที่เหมาะสม
-
การบังคับใช้การเข้ารหัสการตรวจสอบความถูกต้องแบบหลายปัจจัยและการป้องกันมัลแวร์เพื่อปกป้องข้อมูลที่ละเอียดอ่อน
สำหรับองค์กรที่ยังคงดิ้นรนกับการจัดการสินทรัพย์และการ จำกัด งบประมาณการอัปเดตเหล่านี้อาจเป็นการยกที่หนักหน่วง NPRM คาดว่าจะย้ายผ่านสภาคองเกรสในช่วงกลาง -2025 แต่ด้วยการเปลี่ยนแปลงการจัดการอย่างต่อเนื่องและคำสั่งของผู้บริหารที่หยุดกฎใหม่ทำให้ไม่แน่ใจว่าการอัปเดตเหล่านี้จะมีผลในปี 2568 หรือถูกผลักไปที่ 2026
ไม่ว่าจะด้วยวิธีใดข้อความก็ชัดเจน: องค์กรด้านสุขภาพจำเป็นต้องเสริมตำแหน่งความปลอดภัยในโลกไซเบอร์ก่อนที่จะกลายเป็นหัวข้อการละเมิดครั้งต่อไป
Scott Mattila เป็น CISO และ COO สำหรับ Intraprise Health ซึ่งเป็น บริษัท ตัวเร่งปฏิกิริยาสุขภาพการปฏิบัติตามกฎระเบียบด้านสุขภาพและองค์กรความปลอดภัยไซเบอร์ เรานั่งลงกับเขาเพื่อรับมุมมองผู้เชี่ยวชาญของเขาเกี่ยวกับมาตรการเชิงรุกที่มีความสำคัญต่อการลดไซเบอร์โรงพยาบาลขั้นตอนและระบบสุขภาพสามารถใช้ในการเตรียมความพร้อมตอนนี้กุญแจเพื่อให้สอดคล้องกับเอกสารสำคัญและผลกระทบของความรับผิดชอบโดยตรงต่อผู้ร่วมธุรกิจ
คำถาม: เหตุใดจึงมีการกำหนดมาตรการเชิงรุกที่มีความสำคัญต่อการลดไซเบอร์ริสส์ในการดูแลสุขภาพ?
หนึ่ง. มาตรการเชิงรุกที่กำหนดไว้เป็นสิ่งสำคัญสำหรับการลดไซเบอร์ริสส์ในการดูแลสุขภาพเพราะพวกเขากำจัดความคลุมเครือและทำให้มั่นใจว่าองค์กรดำเนินการควบคุมที่จำเป็นเพื่อปกป้องข้อมูลสุขภาพที่ได้รับการป้องกันทางอิเล็กทรอนิกส์ ในอดีตธรรมชาติที่เปิดกว้างของกฎ HIPAA ได้นำไปสู่บางองค์กรที่ตีความความต้องการความต้องการมากกว่าการใช้มาตรการป้องกันทางเทคนิคที่จำเป็นสำหรับการรักษาความปลอดภัยที่แข็งแกร่ง
โดยใช้เฟรมเช่น Hitrust และ NIST องค์กรได้รับความคาดหวังอย่างชัดเจนในการบรรลุความปลอดภัยและความยืดหยุ่นลดโอกาสในการคุกคามไซเบอร์ ในฐานะเพื่อนร่วมงานมักจะกล่าวว่า “มันเทียบเท่ากับการรักษาสุขภาพที่ดี – ในการออกกำลังกายกินผักและทานวิตามินในความปลอดภัยไซเบอร์เราต้องวางแผนและดำเนินการเพื่ออนาคต”
สมาคมสุขภาพได้รับการยอมรับว่าเป็นภัยคุกคามทางไซเบอร์ที่ยั่งยืนในอุตสาหกรรมมานานแล้วด้วยการปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ Letidelines (CPGs) ซึ่งเป็นสัญญาณบ่งบอกถึงความหลีกเลี่ยงไม่ได้ของการออกกฎหมายในอนาคต – แม้ว่าบางคนก็ลังเลที่จะรับรู้ ในขณะที่ภูมิทัศน์ของปอดยังคงพัฒนาอย่างต่อเนื่องการดำเนินการควบคุมทางเทคนิคตามใบสั่งแพทย์ขั้นพื้นฐานยังคงมีความสำคัญ
NPRM ได้ระบุมาตรการเหล่านี้เพื่อช่วยให้องค์กรทำนายความท้าทายและลดความเสี่ยงของเหตุการณ์ความปลอดภัยทางไซเบอร์ที่มากขึ้น
คำถาม: มีขั้นตอนอะไรบ้างสำหรับโรงพยาบาลและระบบสุขภาพในการเตรียมความพร้อมตอนนี้?
หนึ่ง. ด้วยกฎระเบียบด้านความปลอดภัยที่แนะนำบนขอบฟ้าโรงพยาบาลและระบบสุขภาพควรเริ่มเตรียมโดยการระบุช่องโหว่และการจัดลำดับความสำคัญของความพยายามในการบรรเทาผลกระทบ ขั้นตอนแรกคือการมีส่วนร่วมกับความเป็นผู้นำและผู้มีส่วนได้ส่วนเสียที่สำคัญเพื่อให้แน่ใจว่าทุกคนสอดคล้องกับการเปลี่ยนแปลงและกลยุทธ์การปฏิบัติตามกฎระเบียบที่จะเกิดขึ้น
การวิเคราะห์ช่องว่างก็มีความสำคัญเช่นกันไม่ว่าจะดำเนินการภายในหรือกับผู้ให้บริการความปลอดภัยพิเศษ – เพื่อประเมินความเสี่ยงและกำหนดว่าจำเป็นต้องมีการปรับปรุงที่สำคัญที่สุด ผู้ชนะอย่างรวดเร็วเช่นการเสริมสร้างการควบคุมการเข้าถึงและการปรับปรุงการควบคุมควรได้รับการจัดการก่อนในขณะที่ความคิดริเริ่มที่สำคัญเช่นการแบ่งส่วนเครือข่ายและการจัดการสินทรัพย์ควรได้รับการวางแผนด้วยเหตุการณ์สำคัญที่ชัดเจน
นอกจากนี้ยังเป็นสิ่งสำคัญที่จะเป็นจริง – ไม่ใช่ทุกอย่างที่สามารถทำได้ในครั้งเดียว วิธีการเฟสที่สมดุลการปรับปรุงทันทีกับเป้าหมายความปลอดภัยระยะยาวจะมีประสิทธิภาพมากที่สุด องค์กรควรประเมินเครื่องมือรักษาความปลอดภัยและอัตราเทคโนโลยีในปัจจุบันเพื่อระบุการรวมหรือโซลูชันแบบบูรณาการมากขึ้น
ในที่สุดความร่วมมือของซัพพลายเออร์ที่แข็งแกร่งเป็นกุญแจสำคัญ การทำงานกับซัพพลายเออร์ที่เชื่อถือได้ซึ่งเข้าใจภูมิทัศน์ด้านกฎระเบียบที่พัฒนาขึ้นสามารถทำให้การปฏิบัติตามและความปลอดภัยมีประสิทธิภาพมากขึ้น
คำถาม: กุญแจสำคัญในการปฏิบัติตามเอกสารสำคัญเช่นการเข้ารหัสการอนุมัติหลายปัจจัยและการจัดการช่องโหว่?
หนึ่ง. การปฏิบัติตามเอกสารที่สำคัญควรเริ่มต้นด้วยการระบุพื้นที่ที่มีความเสี่ยงที่สุดขององค์กรของคุณจัดลำดับความสำคัญความเสี่ยงและการรวบรวมทีมข้ามหน้าที่เพื่อจัดการกับพวกเขา ไม่ว่าจะเป็นการอัปเดตนโยบายแนะนำขั้นตอนใหม่หรือใช้เครื่องมือรักษาความปลอดภัยการมุ่งเน้นจะต้องอยู่ในข้อกำหนดทั้งการปฏิบัติตามและเสริมสร้างความยืดหยุ่นโดยรวม
NPRM ไม่เพียง แต่เกี่ยวกับการควบคุมกล่องการปฏิบัติตาม – มันเน้นใบสั่งยา มาตรการที่ออกแบบมาเพื่อป้องกันภูมิประเทศที่มีความซับซ้อนมากขึ้นและมีการพัฒนา
วิธีการเชิงรุกและมีโครงสร้างที่ดีทำให้มั่นใจได้ว่าการเข้ารหัสการตรวจสอบความถูกต้องแบบหลายปัจจัยและการจัดการช่องโหว่ไม่เพียง แต่เป็นข้อผูกพันด้านกฎระเบียบเท่านั้น แต่ยังมีมาตรการป้องกันที่สำคัญสำหรับการรักษาความปลอดภัยเป็นเวลานาน
คำถาม: อะไรคือผลกระทบของความรับผิดชอบโดยตรงต่อความสัมพันธ์ทางธุรกิจและการเป็นหุ้นส่วนของการปฏิบัติตามความหมายอย่างไร?
หนึ่ง. กฎที่นำเสนอเพิ่มความรับผิดชอบของผู้ร่วมธุรกิจอย่างมีนัยสำคัญและลบความแตกต่างระหว่างข้อกำหนดที่บังคับและที่อยู่ได้ ในสาระสำคัญตอนนี้พวกเขาได้รับการพิจารณาการขยายโดยตรงของหน่วยที่ครอบคลุมซึ่งหมายถึงความรับผิดชอบที่มากขึ้น – และความรับผิดชอบ – เมื่อมันมาถึงการปกป้องข้อมูลผู้ป่วย
การเปลี่ยนแปลงที่สำคัญคือคำจำกัดความเพิ่มเติมของสมาคมธุรกิจที่ขณะนี้มีผู้รับเหมาช่วงมากขึ้นในการจัดการ PHI ซึ่งหมายความว่าหน่วยที่ครอบคลุมจะเพิ่มความเข้มข้นของการกำกับดูแลการบริหารความเสี่ยงที่สามที่เข้มงวดขึ้นและดำเนินการตรวจสอบความปลอดภัยบ่อยขึ้น
ผู้ร่วมธุรกิจจะต้องแจ้งหน่วยงานที่ครอบคลุมของการละเมิด PHI ทั้งหมดภายใน 24 ชั่วโมงและจะต้องเผชิญกับมาตรการบังคับใช้โดยตรงหากพวกเขาไม่ปฏิบัติตามกฎความปลอดภัย HIPAA
สำหรับความสัมพันธ์ทางธุรกิจการเปลี่ยนแปลงนี้ทำให้การปฏิบัติตามมีความสำคัญมากขึ้นกว่าเดิม พวกเขาจำเป็นต้องปรับให้เข้ากับหน่วยความคาดหวังด้านความปลอดภัยที่ครอบคลุมเสริมสร้างการควบคุมภายในและมีบทบาทเชิงรุกในการรับรองการปฏิบัติตาม HIPAA เพื่อหลีกเลี่ยงการลงโทษตามกฎระเบียบ
ติดตามการโจมตีของ Bill ที่ LinkedIn: Bill Siwicki
e -mail เขา: [email protected]
การดูแลสุขภาพข่าวไอทีเป็นสื่อสิ่งพิมพ์ HIMS
ดูตอนนี้: CDIO ใหม่ของ Mount Sinai นำเสนอรูปแบบภายในของเธอเต็มจานของเธอ