.
Os hospitais e organizações de saúde americanos seriam obrigados a adotar a autenticação multifatorial (MFA) e outros padrões mínimos de segurança cibernética sob a nova legislação proposta por um grupo bipartidário de senadores dos EUA.
A Lei de Cibersegurança e Resiliência em Cuidados de Saúde de 2024 [PDF]apresentado na sexta-feira pelos senadores norte-americanos Bill Cassidy (R-Louisiana), Mark Warner (D-Virginia), John Cornyn (R-Texas) e Maggie Hassan (D-New Hampshire), exigiria, entre outras coisas, uma melhor coordenação entre o Departamento de Saúde e Serviços Humanos (HHS) e a Agência de Segurança Cibernética e de Infraestrutura (CISA) em torno da segurança cibernética no setor de saúde e saúde pública.
Isto inclui dar ao HHS um ano para implementar um plano de resposta a incidentes de segurança cibernética e atualizar os tipos de informações exibidas publicamente através do portal de relatórios de violações do departamento.
Atualmente, todas as organizações de saúde consideradas “entidades cobertas” pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde dos EUA (HIPAA) são obrigadas a notificar o HHS se forem violadas. A nova lei exigiria que as entidades violadas informassem quantas pessoas foram afetadas pelo incidente de segurança.
Também exigiria que o portal incluísse detalhes sobre “qualquer ação corretiva tomada contra uma entidade coberta que forneceu notificação de uma violação”, bem como “práticas de segurança reconhecidas que foram consideradas” durante a investigação da violação, além de qualquer outra informação que o secretário do HHS julgar necessário.
Embora a MFA e a encriptação de informações de saúde protegidas sejam as únicas práticas específicas de segurança da informação previstas na legislação proposta, exigiria que as entidades abrangidas e os seus parceiros comerciais adoptassem “outros padrões mínimos de segurança cibernética”, conforme determinado pelo secretário do HHS. As organizações de saúde teriam então que realizar auditorias, incluindo testes de penetração, para garantir que os seus processos de segurança e proteções estivessem em conformidade.
Algumas das outras seções do projeto de lei forneceriam treinamento federal para proprietários e operadores do setor de saúde sobre as melhores práticas de segurança cibernética, subsídios para ajudar os provedores a melhorar sua postura de segurança e apoio adicional para clínicas rurais na prevenção de violações, resiliência e coordenação com agências federais. .
“Os ataques cibernéticos ao nosso setor de saúde não apenas colocam em risco os dados confidenciais de saúde dos pacientes, mas podem atrasar os cuidados que salvam vidas”, disse Cassidy, que também é médico e membro graduado do Senado para Saúde, Educação, Trabalho e Pensões ( AJUDA) Comitê.
Estes efeitos reais de um ataque cibernético tornaram-se evidentes no início deste ano, quando uma gangue de ransomware bloqueou os sistemas da Change Healthcare, interrompendo milhares de farmácias e hospitais nos EUA e acessando dados de saúde confidenciais pertencentes a cerca de 100 milhões de pessoas.
A Change Healthcare levou nove meses para restaurar seus serviços de compensação após a infecção por ransomware, que custou à empresa de propriedade da UnitedHealth mais de US$ 2 bilhões em remediação até o momento.
O ataque de ransomware Change também levou a Warner e o senador Ron Wyden (D-Oregon) a apresentar um projeto de lei que criaria padrões mínimos obrigatórios de segurança da informação para certos provedores e empresas de saúde. ®
.
