של קבוצת UnitedHealth פריצת ממותה בשנה שעברה עשתה יותר מאשר עודדה את הביקורת של הקונגרס; זה גם גרם לעדכון מוצע של כללי אבטחת הסייבר הפדרליים של שירותי הבריאות. כשההתייעצות הציבורית בנושא נסגרה כעת, כל העיניים נשואות לרשות המבצעת לראות מה היא עושה הלאה.
ביום שישי האחרון, 7 במרץ 2025, היה המועד האחרון להערות הציבור על הצעה לשדרוג גדול לחוק האבטחה של ביטוח הבריאות והניוד והאחריות של 1996 (HIPAA). זה יטיל דרישות אבטחת סייבר נוקשות יותר על המגוון הרחב של ארגונים שכבר מכוסים על ידי HIPAA.
חוק מיושן במגזר המתחדש במהירות
כשה-HIPAA התקבל, ה-Palm Pilot היה הטכנולוגיה המתקדמת ביותר בתחום ה-handheld, Hotmail הייתה חדשה, גוגל עדיין לא השיקה, ורק 36 מיליון אנשים השתמשו באינטרנט. החוק לא עודכן באופן מהותי מאז 2013.
בינתיים, הדרך שבה מערכת הבריאות מעבדת מידע השתנתה באופן מהותי. חוק HITECH ו-21st Century Cures Act עודדו השקעות טכנולוגיות ושיתוף נתונים, והובילו לתקופה של מודרניזציה מהירה.
משרד הבריאות והשירותים האמריקני (HHS) הרגיש שהכללים נדרשים לעדכן כדי לשקף את הזמנים. בדצמבר, זה הציע את כלל אבטחת הסייבר החדש כדרך לחזק את מגזר הבריאות נגד מה שהוא רואה כמטח הולך וגדל של התקפות סייבר. זוהי תגובה ישירה להתקפות סייבר גוברת נגד המגזר.
גל גובר של הפרות שירותי בריאות
HHS שומרת על נתוני פרצות מידע משלה באמצעות המשרד לזכויות האזרח (OCR). הוא מצא שאירועי הפרות גדולים הוכפלו בין 2018-2023, בעוד שמספר האנשים שנפגעו גדל פי עשרה - מה שמצביע על כך שהפרות בודדות הופכות למשפיעות יותר. זה לא מפתיע בהתחשב בצמיחת תוכנות הכופר, ש-HHS מכנה במפורש. הוא גם ציטט את ההפרה בחברת הבת Change Healthcare של UnitedHealth Group, אשר, עם 190 מיליון קורבנות, השפיעה על למעלה ממחצית מאוכלוסיית ארה"ב. זה בטוח יגדיל משמעותית את מספרי הפרצות של 2024, הזהיר HHS.
גורמים אחרים בתעשייה מבינים זאת. ה דו"ח Ponemon Cybersecurity in Healthcare לשנת 2024 אמר כי 92% מארגוני הבריאות שנסקרו סבלו לפחות מתקפת סייבר אחת בשנה הקודמת. בממוצע, המתקפה היקרה ביותר שכל קורבן סבל עלתה להם 4.7 מיליון דולר, ו-79% דיווחו שההתקפות שיבשו את פעולת החולים.
לחץ מהקונגרס
מחוקקים קראו גם לרגולציה מוצקה יותר של אבטחת סייבר בתחום הבריאות. שלושה חודשים קודם לכן, יו"ר ועדת הכספים של הסנאט רון ווידן והסנאטור מארק וורנר, שניהם דמוקרטים, הציג חוק האבטחה והאחריות של תשתיות הבריאות (HISA), שקרא ל-HHS ליישם כללי אבטחת סייבר קשוחים יותר תוך הסרת מכסי ענישה אזרחיים עבור ישויות מכוסות המפרים את הכלל. לאחר הפריצה, ווידן היה מבקר אגרסיבי במיוחד של UnitedHealth Group, וקרא לחקור פדרלי את נוהלי אבטחת הסייבר של החברה.
צעדים חדשים קפדניים
כלל העדכון המוצע של HHS מסיר את הרעיון של אמצעי אבטחה 'ניתנים להתייחסות' שאינם נדרשים, במקום זאת הופך את כל האמצעים המתוארים שלו לנדרשים. זה מוסיף מועדים ספציפיים עבור רבות מהדרישות הקיימות. כל מדיניות האבטחה חייבת להיות מתועדת בכתב.
ניתוח סיכונים: ארגונים חייבים לכלול הערכות כתובות של מלאי נכסים שנבדק מדי שנה ומפת רשת שעוקבת אחר תנועת מידע בריאותי אישי אלקטרוני (ePHI) דרך המערכות שלהם. עליהם לזהות את כל האיומים על המידע והמערכות הללו, ולסווג את רמות הסיכון שלהם.
תגובה לאירוע וחשיפה: הכלל המוצע גם קורא לאמצעי תגובה הדוקים יותר של התעשייה, לרבות תוכניות כתובות לדיווח על אירועי אבטחה ושחזור מערכות וגישה לנתונים תוך 72 שעות, עם עדיפות על סמך קריטיותם. שותפים עסקיים חייבים גם להודיע לארגונים בפנים אם הם מפעילים את תוכניות המגירה שלהם.
ביקורת ציות: ארגוני שירותי בריאות חייבים לעבור ביקורת ציות שנתית מול כלל האבטחה ולקבל אימות בכתב על ידי מומחה שכל שותפיהם העסקיים מצייתים לכלל. באופן דומה, שותפים עסקיים חייבים לקבל את אותו הדבר מהקבלנים שלהם.
בקרות טכניות: כל ePHI חייב להיות מוצפן בזמן מנוחה ובמעבר, וגם אימות רב-גורמי וגם הגנה נגד תוכנות זדוניות יהיו חובה. יש להסיר תוכנות מיותרות ממערכות רלוונטיות, ולבטל את יציאות הרשת המתאימות. רשתות חייבות להיות מפולחות. חייבות להיות בקרות נפרדות ויעודיות לגיבוי ושחזור, ומערכות חייבות להיסרק לאיתור נקודות תורפה כל שישה חודשים ולעבור בדיקת חדירה שנתית.
נותני חסות לתוכנית קבוצתית: עדכון הכלל המוצע משפיע גם על ארגונים כמו מעסיקים שמוציאים קופות חולים קבוצתיות. מסמכי התוכנית שלהם חייבים לכלול דרישות לציית לכלל האבטחה המוצע, והם חייבים להבטיח שסוכן ביטוח הבריאות הנוטל את ה-ePHI שלו עושה את אותו הדבר. אם הם צריכים להפעיל את תוכנית התגובה לאירועים שלהם, עליהם להודיע לחברי התוכנית שלהם בתוך 24 שעות.
מה זה אומר עבור חברות בריאות
אמצעי החובה החדשים מנוגדים לגישה התנדבותית ברובה לתקני אבטחת סייבר משמעותיים. בינואר 2024, HHS פרסמה את תוכנית 405(ד) שלה - קבוצה של גישות אבטחה וולונטריות עבור ארגוני תעשיית הבריאות. עם זאת, אלה היו חלק מתוכנית רחבה יותר להטיל אחריות רבה יותר על אבטחת סייבר על התעשייה.
כמו HIPAA, העדכון המוצע חל על ספקי שירותי בריאות במורד הזרם כמו בתי חולים, יחד עם ארגונים במעלה הזרם כמו קופות חולים, ספקי ביטוח ומסלקות הבריאות שמעבירות את ePHI בין כל הארגונים הללו. שותפים עסקיים - החברות המטפלות ב-PHI עבור אותם ישויות מכוסות - גם הם בגדר.
קוראים שמשקפים שהשינויים פשוט משקפים היגיינת סייבר בסיסית אינם לבד. העדכון המוצע מייצג שדרוג משמעותי לכללים הקיימים של HIPAA, אומרים מומחים משפטיים, אך הוא גם ממלא פער רגולטורי על ידי הבאת המגזר יותר בקנה אחד עם המלצות אבטחת סייבר המקובלות כיום, כגון מסגרת אבטחת הסייבר של NIST.
"עבור ארגונים שכבר אימצו את 'שיטות העבודה המומלצות' הללו, רבות מהדרישות החדשות של הכלל המוצע יהיו מוכרות, ובמקרים רבים כבר יושמו." לטעון Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah מ-Epstein Becker & Green ב-National Law Review. במקרה כזה, חלקו הארי של העבודה יהיה כרוך ככל הנראה בדשדוש נייר מעורפל ומילוי טפסים כדי לעמוד בדרישות הניהוליות.
עם זאת, עבור ארגונים מכוסים שהיו רפויים באמצעי אבטחת הסייבר שלהם, יהיו כמה משימות כבדות לעשות. ל-HISA, שעדיין נמצאת בשלב הוועדה, היו כמה תוספות משמעותיות. בפרט, היא הוציאה 800 מיליון דולר למימון לבתי חולים כפריים ועירוניים כדי להשיג ציות, עם 500 מיליון דולר נוספים לאחר תקופה זו לכל בתי החולים האחרים.
נראה כי עדכון הכלל של HHS אינו מציע מימון כזה. זו יכולה להיות נקודת תקיעה.
"בהתחשב בעובדה שהתקן של כלל האבטחה של אמצעי הגנה 'סבירים ומתאימים' חייב לתת את הדעת על עלות, גודל, מורכבות ויכולות, ההצעות היותר מחייבות ב-NPRM [הודעה על קביעת כללים מוצעים] והיעדר דרישות שניתן לטפל בהן מהווים נטל כבד - במיוחד על ספקים קטנים יותר." לכתוב איימי ס. לאופרד, שותפה ב-Bradley Arant Boult Cummings LLP ושותפה אדריאנטה קרטר.
מה קורה לאחר מכן
לאחר תום תקופת ההתייעצות הציבורית, HHS צפויה לאסוף ולהגיב להערות. בדרך כלל, הכלל יתוקן כדי להתאים לחלק מההערות הללו, והתעשייה תידרש לציית לו 180 יום לאחר שהמחלקה סיימה אותו.
עם זאת, לא ברור אם ה-NPRM ממשיך בצורתו הנוכחית - או בכל צורה שהיא. השינוי האדמיניסטרטיבי האחרון בארה"ב בישר שינויי מדיניות חסרי תקדים במהירות מרתקת. כאשר רוברט פ קנדי ג'וניור מאייש כעת את הכוח במחלקה, וכשהנשיא הנוכחי שומר על גישת דה-רגולציה ארוכת שנים ולכאורה מבטל את מימון הפעילות הממשלתית הפדרלית ככל האפשר, הנוף הפוליטי לשארית 2025 הוא ניחוש של כל אחד.
