El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) propuso actualizar la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA) de 1996 para proteger los datos de salud de los pacientes luego de un aumento en las violaciones masivas de datos de salud.
Estas reglas de ciberseguridad más estrictas, propuestas por la Oficina de Derechos Civiles (OCR) del HHS y que se espera que se publiquen como regla final dentro de 60 días, requerirían que las organizaciones de atención médica cifren la información médica protegida (PHI), implementen autenticación multifactor y segmenten sus datos. redes para hacer más difícil a los atacantes moverse lateralmente a través de ellas.
«En los últimos años, ha habido un crecimiento alarmante en la cantidad de infracciones que afectan a 500 o más personas reportadas al departamento, el número total de personas afectadas por dichas infracciones y la escalada desenfrenada de ataques cibernéticos que utilizan piratería informática y ransomware», dijo el HHS. . ‘ propuesta dicho.
“El Departamento está preocupado por el creciente número de infracciones y otros incidentes de ciberseguridad experimentados por entidades reguladas. También estamos cada vez más preocupados por la tendencia creciente en el número de personas afectadas por esos incidentes y la magnitud de los posibles daños derivados de esos incidentes.
Reuters informes Anne Neuberger, asesora adjunta de seguridad nacional de la Casa Blanca para ciberseguridad y tecnologías emergentes, también dijo a los periodistas que las actualizaciones de las reglas de ciberseguridad de HIPAA fueron impulsadas por ataques de ransomware y violaciones masivas que han afectado a hospitales y a estadounidenses en los últimos años.
Neuberger añadió que implementar estas reglas costaría alrededor de 9 mil millones de dólares en el primer año y más de 6 mil millones de dólares en los próximos cuatro años.
«La regla de seguridad [under HIPAA] se publicó por primera vez en 2003 y se revisó por última vez en 2013. Por lo tanto, esta es la primera actualización de esta regla de 20 años en más de una década, y requerirá que las entidades que mantienen datos de salud hagan cosas como cifrar esos datos, por lo que en el En caso de un ataque, no se puede filtrar en la web y poner a las personas en riesgo», afirmó Neuberger.
«El costo de la inacción no sólo es alto, sino que también pone en peligro la infraestructura crítica y la seguridad de los pacientes, y genera otras consecuencias perjudiciales».
Más recientemente, Ascension, uno de los sistemas de salud privados más grandes de EE. UU., notificó a casi 5,6 millones de personas que sus datos personales y de salud habían sido robados en un ataque de ransomware Black Basta en mayo.
Después del ciberataque, los empleados de Ascension se vieron obligados a realizar un seguimiento de los medicamentos y procedimientos en papel porque ya no se podía acceder a los registros electrónicos de los pacientes. El gigante de la salud también tuvo que desconectar algunos dispositivos y desviar los servicios médicos de emergencia a otras unidades de atención para evitar retrasos en la clasificación.
