פֿאַרשטאַרקונג סייבערסעקוריטי אין די כעלטקער סעקטאָר פאָן

פֿאַרשטאַרקונג סייבערסעקוריטי אין די העאַלטהקאַרע סעקטאָר

די UnitedHealth Group מאַמאַט כאַק לעצטע יאָר האט מער ווי מוטיקן קאָנגרעססיאָנאַל דורכקוק; עס אויך פּראַמפּטיד אַ פארגעלייגט דערהייַנטיקן פון פעדעראלע כעלטקער סייבערסעקוריטי כּללים. מיט דער פובליק באַראַטונג אויף דעם איצט פארמאכט, אַלע אויגן זענען אויף די יגזעקיאַטיוו צווייַג צו זען וואָס עס טוט ווייַטער.

לעצטע פרייטאג, 7 מערץ 2025, איז געווען דער טערמין פֿאַר ציבור באַמערקונג פֿאַר אַ פארגעלייגט הויפּט אַפּגרייד צו די געזונט פאַרזיכערונג פּאָרטאַביליטי און אַקאַונטאַביליטי אקט פון 1996 (HIPAA) זיכערהייט הערשן. דאָס וואָלט אָנטאָן שטרענגערע סייבערסעקוריטי רעקווירעמענץ אויף די ברייט קייט פון אָרגאַנאַזיישאַנז שוין באדעקט דורך HIPAA.

אַן אַנטיקוואַט געזעץ אין אַ שנעל-מאָדערניזינג סעקטאָר

ווען HIPAA איז דורכגעגאנגען, די פּאַלם פּילאָט איז געווען די שטאַט פון די קונסט אין כאַנדכעלד טעק, האָטמאַיל איז געווען נייַ, Google האט נישט לאָנטשט נאָך, און בלויז 36 ​​מיליאָן מענטשן געוויינט די וועב. די געזעץ איז נישט דערהייַנטיקט אין קיין סאַבסטאַנטיוו וועג זינט 2013.

אין די דערווייל, די וועג פון די כעלטקער סיסטעם פּראַסעסאַז אינפֿאָרמאַציע איז באטייטיק געביטן. די HITECH אקט און 21st יאָרהונדערט קיורז אקט ינקעראַדזשד טעק ינוועסמאַנט און דאַטן ייַנטיילונג, ינשורינג אַ צייט פון גיך מאַדערנאַזיישאַן.

דעפּאַרטמענט פון געזונט און מענטשנרעכט באַדינונגס (HHS) פּעלץ אַז די כּללים דארף אַפּדייטינג צו פאַרטראַכטנ די צייט. אין דעצעמבער, עס פארגעלייגט די נייַע סייבערסעקוריטי הערשן ווי אַ וועג צו שטיצן די כעלטקער סעקטאָר קעגן וואָס עס זעט ווי אַ גראָוינג בעראַזש פון סייבער אַטאַקס. עס איז אַ דירעקט אָפּרוף צו גראָוינג סייבער אַטאַקס קעגן דעם סעקטאָר.

א רייזינג טייד פון כעלטקער בריטשיז

HHS האלט זיין אייגענע דאַטן בריטש פיגיערז דורך זיין אָפפיסע פון ​​סיוויל הזכויות (OCR). עס געפונען גרויס בריטש ינסאַדאַנץ דאַבלינג צווישן 2018-2023, בשעת די נומער פון מענטשן אַפעקטאַד געוואקסן צענפאָולד - ינדאַקייטינג אַז יחיד בריטשיז ווערן מער פּראַל. דאָס איז נישט חידוש ווייַל פון דעם וווּקס פון ראַנסאָמוואַרע, וואָס די HHS ספּאַסיפיקלי רופט. עס האָט אויך ציטירט די בריטש ביי UnitedHealth Group's Change Healthcare סאַבסידיערי, וואָס, מיט 190 מיליאָן וויקטימס, אַפעקטאַד איבער האַלב פון די יו. דאָס וועט זיכער פאַרגרעסערן די בריטש נומערן פון 2024, געווארנט HHS.

אנדערע ינדאַסטרי פיגיערז טראָגן דעם אויס. די 2024 פּאָנעמאָן סייבערסעקוריטי אין העאַלטהקאַרע באַריכט האט געזאגט אַז 92% פון כעלטקער אָרגאַנאַזיישאַנז סערווייד האָבן געליטן בייַ מינדסטער איין סייבער באַפאַלן אין די פריערדיקע יאָר. אין דורכשניט האט די טייערסטע אטאקע וואס יעדער קרבן האט געליטן קאסט זיי $4.7 מיליאָן, און 79% האבן געמאלדן אז די אטאקעס האבן צעשטערט פאציענט אפעראציעס.

דרוק פון קאנגרעס

לאַוומאַקערס האָבן אויך גערופן פֿאַר פעסטער רעגולירן פון סייבערסעקוריטי אין כעלטקער. דריי חדשים פריער, דער טשער פון דער סענאַט פינאַנצן קאַמיטי, ראָן ווידען, און סענאַטאָר מארק וואַרנער, ביידע דעמאָקראַץ, באַקענענ די געזונט ינפראַסטראַקטשער זיכערהייט און אַקאַונטאַביליטי אקט (HISA), וואָס האָט גערופֿן HHS צו ינסטרומענט האַרדער סייבערסעקוריטי כּללים בשעת רימוווינג יידל שטראָף קאַפּס פֿאַר באדעקט ענטיטיז וואָס אָנרירן די הערשן. נאָך דעם כאַק, Wyden איז געווען אַ ספּעציעל אַגרעסיוו קריטיקער פון UnitedHealth Group, און האָט גערופֿן אַ פעדעראלע ויספאָרשונג אין די פירמע 'ס סייבער זיכערהייט פּראַקטיסיז.

שטרענגע נייע מיטלען

די פארגעלייגט HHS דערהייַנטיקן הערשן רימוווז די געדאַנק פון 'אַדרעססאַבלע' זיכערהייט מיטלען וואָס זענען נישט פארלאנגט, אַנשטאָט מאַכן אַלע די אַוטליינד מיטלען פארלאנגט. עס מוסיף ספּעציפיש דעדליינז פֿאַר פילע פון ​​די יגזיסטינג באדערפענישן. אַלע זיכערהייט פּאַלאַסיז מוזן זיין דאַקיומענטאַד אין שרייבן.

ריזיקירן אַנאַליסיס: אָרגאַנאַזיישאַנז מוזן אַרייַננעמען געשריבן אַסעסמאַנץ פון אַ אַניואַלי ריוויוד אַסעט ינוואַנטאָרי און נעץ מאַפּע וואָס טראַקס עלעקטראָניש פערזענלעכע געזונט אינפֿאָרמאַציע (ePHI) באַוועגונג דורך זייער סיסטעמען. זיי מוזן ידענטיפיצירן אַלע טרעץ צו דעם אינפֿאָרמאַציע און סיסטעמען, קלאַסאַפייינג זייער ריזיקירן לעוועלס.

אינצידענט ענטפער און אַנטפּלעקונג: די פארגעלייגט הערשן אויך רופט פֿאַר טייטער ינדאַסטרי ענטפער מיטלען, אַרייַנגערעכנט געשריבן פּלאַנז צו באַריכט זיכערהייט ינסאַדאַנץ און ומקערן סיסטעמען און דאַטן אַקסעס אין 72 שעה, פּרייאָראַטייזד באזירט אויף זייער קריטיקייט. געשעפט אַסאָושיאַץ מוזן אויך זאָגן אָרגאַנאַזיישאַנז ין אויב זיי אַקטאַווייט זייער קאַנטינדזשאַנסי פּלאַנז.

קאָמפּליאַנסע אַדאַץ: העאַלטהקאַרע אָרגאַניזאַציעס מוזן דורכגיין אַ יערלעך העסקעם קאָנטראָלירן קעגן די זיכערהייט הערשן און באַקומען אַ געשריבן וועראַפאַקיישאַן דורך אַן עקספּערט אַז אַלע זייער געשעפט אַסאָושיאַץ נאָכקומען מיט די הערשן. סימילאַרלי, געשעפט אַסאָושיאַץ מוזן באַקומען די זעלבע פון ​​זייער קאָנטראַקטאָרס.

טעכניש קאָנטראָלס: אַלע ePHI מוזן זיין ינקריפּטיד אין רו און אין דורכפאָר, און ביידע מולטי-פאַקטאָר אָטענטאַקיישאַן און אַנטי-מאַלוואַרע שוץ וועט זיין מאַנדאַטאָרי. עקסטרייניאַס ווייכווארג מוזן זיין אַוועקגענומען פון באַטייַטיק סיסטעמען, און צונעמען נעץ פּאָרץ מוזן זיין פאַרקריפּלט. נעטוואָרקס מוזן זיין סעגמענטעד. עס מוזן זיין באַזונדער, דעדאַקייטאַד קאָנטראָלס פֿאַר באַקאַפּ און אָפּזוך, און סיסטעמען מוזן זיין סקאַנד פֿאַר וואַלנעראַביליטיז יעדער זעקס חדשים און אונטערטעניק צו אַ יערלעך דורכדרונג פּראָבע.

ספּאָנסאָרס פון גרופּע פּלאַן: די פארגעלייגט הערשן דערהייַנטיקן אויך אַפעקץ אָרגאַנאַזיישאַנז ווי עמפּלויערס וואָס נעמען גרופּע געזונט פּלאַנז. זייער פלאן דאקומענטן מוזן ארייננעמען רעקווירעמענץ צו נאָכקומען מיט די פארגעלייגט זיכערהייט רעגולאציע, און זיי מוזן פארזיכערן אז דער געזונט אינשורענס אגענט וואס נעמט זייער ePHI טוט דאס זעלבע. אויב זיי האָבן צו אַקטאַווייט זייער אינצידענט ענטפער פּלאַן, זיי מוזן געבנ צו וויסן זייער פּלאַן מיטגלידער אין 24 שעה.

וואָס עס מיטל פֿאַר כעלטקער קאָמפּאַניעס

די נייַע מאַנדאַטאָרי מיטלען קאַנטראַסט מיט אַ לאַרגעלי וואַלאַנטערי צוגאַנג צו מינינגפאַל סייבערסעקוריטי סטאַנדאַרדס. אין יאנואר 2024, HHS ארויס זיין 405 (ד) פּראָגראַם - אַ סכום פון וואַלאַנטערי זיכערהייט אַפּראָוטשיז פֿאַר כעלטקער ינדאַסטרי אָרגאַנאַזיישאַנז. אָבער, דאָס איז געווען טייל פון אַ ברייטערער פּלאַן צו אָנטאָן מער סייבערסעקוריטי אַקאַונטאַביליטי אויף די אינדוסטריע.

ווי HIPAA, די פארגעלייגט דערהייַנטיקן אַפּלייז צו דאַונסטרים כעלטקער פּראַוויידערז ווי האָספּיטאַלס, צוזאַמען מיט אַפּסטרים אָרגאַנאַזיישאַנז ווי געזונט פּלאַנז, פאַרזיכערונג פּראַוויידערז און די כעלטקער קלירינג הייזער וואָס לייקס ePHI צווישן אַלע די אָרגאַנאַזיישאַנז. געשעפט אַסאָושיאַץ - די קאָמפּאַניעס וואָס האַנדלינג PHI פֿאַר די באדעקט ענטיטיז - זענען אויך אין פאַרנעם.

לייענער וואָס פאַרטראַכטנ זיך אַז די ענדערונגען פשוט פאַרטראַכטנ זיך יקערדיק סייבער היגיענע זענען נישט אַליין. די פארגעלייגט דערהייַנטיקן רעפּראַזענץ אַ היפּש אַפּגרייד צו די יגזיסטינג כּללים פון HIPAA, זאָגן לעגאַל עקספּערץ, אָבער עס אויך פילז אַ רעגולאַטאָרי ריס דורך ברענגען דעם סעקטאָר מער אין שורה מיט דערווייַל אנגענומען סייבערסעקוריטי רעקאַמאַנדיישאַנז אַזאַ ווי NIST ס סייבערסעקוריטי פריימווערק.

"פאר אָרגאַנאַזיישאַנז וואָס האָבן שוין אנגענומען די 'בעסטער פּראַקטיסיז', פילע פון ​​​​די נייַע פּראָפּאָסעד רול רעקווירעמענץ וועט זיין באַקאַנט און, אין פילע קאַסעס, שוין ימפּלאַמענאַד," טייַנען Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah פון Epstein Becker & Green אין די נאַשאַנאַל געזעץ איבערבליק. אין דעם פאַל, דער לייב ס טיילן פון דער אַרבעט וועט מסתּמא אַרייַנציען פלעריד פּאַפּיר שאַפלינג און פאָרעם פילונג צו באַפרידיקן די אַדמיניסטראַטיווע רעקווירעמענץ.

אָבער, פֿאַר באדעקט אָרגאַנאַזיישאַנז וואָס האָבן געווען אָפּגעלאָזן אין זייער סייבער זיכערהייט מיטלען, עס וועט זיין עטלעכע שווער ליפטינג צו טאָן. HISA, וואָס איז נאָך אין די קאַמיטי בינע, האט עטלעכע באַטייַטיק אַד-ינס. אין באַזונדער, עס קאַרווד אויס $ 800 מיליאָן אין פאַנדינג פֿאַר דאָרפיש און שטאָטיש זיכערקייַט נעץ האָספּיטאַלס ​​​​צו דערגרייכן העסקעם, מיט נאָך $ 500 מיליאָן נאָך דער צייט פֿאַר אַלע אנדערע האָספּיטאַלס.

די HHS הערשן דערהייַנטיקן טוט נישט ויסקומען צו פאָרשלאָגן אַזאַ פאַנדינג. דאָס קען זיין אַ סטיקינג פונט.

"געגעבן אַז די זיכערהייט רול ס סטאַנדאַרט פון 'גלייַך און צונעמען' באַוואָרענישן מוזן חשבון פֿאַר קאָס, גרייס, קאַמפּלעקסיטי און קייפּאַבילאַטיז, די מער פּריסקריפּטיוו פּראַפּאָוזאַלז אין די NPRM [באַמערקונג פון פארגעלייגט הערשן מאכן] און מאַנגל פון אַדרעסאַבאַל רעקווירעמענץ פאָרשטעלן אַ שווער מאַסע - ספּעציעל אויף קלענערער פּראַוויידערז," שרייַבן Amy S. Leopard, שוטעף אין Bradley Arant Boult Cummings LLP און איר מיטאַרבעטער אַדריאַנטע קאַרטער.

וואָס כאַפּאַנז ווייַטער

נאָך דעם סוף פון דער ציבור באַראַטונג פּעריאָד, HHS איז מסתּמא צו קאַלאַט און ריספּאַנד צו באַמערקונגען. טיפּיש, די הערשן וואָלט זיין אַמענדיד צו אַקאַמאַדייט עטלעכע פון ​​די באַמערקונגען, און די ינדאַסטרי וואָלט זיין פארלאנגט צו נאָכקומען מיט עס 180 טעג נאָך די דעפּאַרטמענט פיינאַלייזד עס.

אָבער, צי די נפּרם לייזונג אין זיין קראַנט פאָרעם - אָדער קיין פאָרעם אין אַלע - איז ומזיכער. די לעצטע אַדמיניסטראַטיווע ענדערונג אין די יו. מיט ראבערט פ קענעדי דזשוניער איצט מיינינג די טיללער אין די דעפּאַרטמענט, און מיט די קראַנט פּרעזידענט מיינטיינינג אַ לאַנג-שטייענדיק דירעגולאַטאָרי צוגאַנג און פּאָנעם דיפאַנדינג ווי פיל פעדעראלע רעגירונג אָפּעראַציע ווי מעגלעך, די פּאָליטיש לאַנדשאַפט פֿאַר די רעשט פון 2025 איז ווער עס יז ס טרעפן.

מחבר

דאַני בראַדבורי

דאַני בראַדבורי איז געווען אַ דרוק זשורנאַליסט וואָס ספּעשאַלייזיז אין טעכנאָלאָגיע זינט 1989 און אַ פרילאַנס שרייבער זינט 1994. ער האט געשריבן פֿאַר נאציאנאלע אויסגאבעס אויף ביידע זייטן פון די אַטלאַנטיק און וואַן אַוואַרדס פֿאַר זיין ינוועסטאַגייטיוו סייבער זיכערהייט זשורנאליסטיק אַרבעט.

זען אַלע אַרטיקלען דורך Danny Bradbury

Related Posts

SOC 2 איז דאָ! פארשטארקן דיין זיכערהייט און בויען קונה צוטרוי מיט אונדזער שטאַרק העסקעם לייזונג הייַנט!