Der Vorsitzende des Finanzausschusses des Senats, Ron Wyden, D-Oregon, und Senator Mark Warner, D-Virginia, haben sich zusammengetan, um Gesetze über „vernünftige Reformen“ anzukündigen, die darauf abzielen, die Welle zunehmender Cyberangriffe einzudämmen, die die Privatsphäre der Amerikaner verletzen und zu erheblichen Störungen der Gesundheitsfürsorge führen bundesweit.
Der Health Infrastructure Security and Accountability Act würde nicht nur Cybersicherheitsprotokolle vorschreiben, sondern auch die Mittel für ländliche und unterversorgte Krankenhäuser erhöhen, um neue Cybersicherheitsstandards zu erfüllen, sagte Warner in einer Erklärung am Donnerstag.
WARUM ES WICHTIG IST
Wenn es zum Gesetz wird, werden die vorgeschlagenen Reformen in der Rechnung würde zu einer verstärkten Prüfung von Gesundheitsorganisationen führen. Sie würden auch höhere Nutzungsgebühren für die neuen Regulierungsdienste zahlen.
Warner, der sich auf die Verbesserung der Cybersicherheitslage des Sektors konzentriert und die US-Gesundheits- und Sozialdienste aufgefordert hat, freiwillige Cybersicherheitsanforderungen abzuschaffen, und ein Grundsatzpapier für 2022 veröffentlicht hat, in dem ein Cybersicherheitsbeauftragter für das Gesundheitswesen gefordert wird, sagte in einer Erklärung, dass seiner Meinung nach freiwilligen Standards die Durchsetzungskraft fehlt erforderlich, um die vertraulichsten Daten der Patienten und die Kontinuität der Versorgung zu schützen.
Die Gesetzgeber machten deutlich, dass ihrer Meinung nach einige der größten Gesundheitsorganisationen „die Cybersicherheitsstandards ignorieren“.
„Megakonzerne wie UnitedHealth scheitern an Cybersecurity 101, und amerikanische Familien leiden darunter“, sagte Wyden in der Erklärung.
„Die Gesundheitsbranche verfügt über einige der schlechtesten Cybersicherheitspraktiken des Landes, obwohl sie für das Wohlergehen und die Privatsphäre der Amerikaner von entscheidender Bedeutung ist.“
Das Health Infrastructure Security and Accountability Act, laut a Faktenblatt fordert in Bezug auf die vorgeschlagene Gesetzgebung „erweiterte Standards“, die für „systemrelevante“ Unternehmen gelten, und die Modernisierung verbindlicher HIPAA-Mindeststandards für die Cybersicherheit für Gesundheitsdienstleister, Clearingstellen für Krankenversicherungen und Geschäftspartner.
Der Gesetzentwurf sieht außerdem vor, dass betroffene Unternehmen und Geschäftspartner jährliche unabhängige Cybersicherheitsprüfungen und andere Maßnahmen vorlegen müssen, um sicherzustellen, dass sie ihre Dienste nach einem Vorfall umgehend wiederherstellen können – „worauf HHS für kleine Anbieter verzichten kann“.
Top-Führungskräfte müssten jedes Jahr die Einhaltung der Anforderungen zertifizieren, und HHS müsste „jedes Jahr proaktiv die Datensicherheitspraktiken von mindestens 20 regulierten Unternehmen prüfen“.
Der Gesetzentwurf schlägt außerdem vor, die gesetzlichen Obergrenzen für die Bußgeldbefugnisse des HHS abzuschaffen, sodass Megakonzerne wie die United Health Group „mit ausreichend hohen Bußgeldern rechnen müssen, um von laxer Cybersicherheit abzuschrecken“.
Während die zusätzliche Sicherheitsaufsicht und -durchsetzung durch Nutzungsgebühren für alle regulierten Unternehmen finanziert würde, sieht der Gesetzesvorschlag auch 800 Millionen US-Dollar für Zahlungen für verbesserte Cybersicherheitsstandards in Krankenhäusern mit Sicherheitsnetzen in ländlichen und städtischen Gebieten und 500 Millionen US-Dollar für alle Krankenhäuser vor.
„Da Hackerangriffe bereits Institutionen im ganzen Land zum Ziel haben, ist es an der Zeit, über freiwillige Standards hinauszugehen und sicherzustellen, dass Gesundheitsdienstleister und -anbieter die Cybersicherheit und Patientensicherheit ernst nehmen“, sagte Warner.
DER GRĂ–SSERE TREND
In der Ankündigung von Warner und Wyden heißt es, dass Wyden die Biden-Regierung aufforderte, den Megakonzern zu untersuchen und festzuhalten, nachdem der Finanzausschuss des Senats im Mai eine Anhörung mit Andrew Witty, CEO der UnitedHealth Group, über den Cyberangriff auf Change Healthcare, eine Tochtergesellschaft von UHG, im Februar abgehalten hatte verantwortlich für seine „nachlässige Cybersicherheit“.
Witty versprach, die in Schwierigkeiten geratene Abrechnungsstelle für Gesundheitszahlungen mit cloudbasierter Sicherheit neu aufzubauen. Change verfügte außerdem nicht über eine Multi-Faktor-Authentifizierung, wodurch das Unternehmen anfällig für Cyberangriffe war.
In einem im Dezember veröffentlichten Strategiepapier forderte HHS außerdem neue Cybersicherheitsanforderungen für Krankenhäuser und skizzierte freiwillige gesundheitsspezifische Leistungsziele für Cybersicherheit.
„Finanzierung und freiwillige Ziele allein werden die im gesamten Gesundheitssektor erforderliche Verhaltensänderung im Zusammenhang mit Cyberangriffen nicht vorantreiben“, sagte die Agentur damals in einer Ankündigung.
Unterdessen lehnte die American Hospital Association vorgeschlagene Strategien ab, die angeblich Krankenhäuser für Cyberangriffe bestrafen.
„Keine Organisation, auch keine Bundesbehörden, ist oder kann immun gegen Cyberangriffe sein“, hatte Rick Pollack, Präsident und CEO der AHA, gesagt IT-Nachrichten im Gesundheitswesen.
„Die Verhängung von Bußgeldern oder die Kürzung der Medicare-Zahlungen würde die Krankenhausressourcen verringern, die zur Bekämpfung der Cyberkriminalität erforderlich sind, und wäre kontraproduktiv für unser gemeinsames Ziel, Cyberangriffe zu verhindern.“
Ein typisches Beispiel: Die Centers for Medicare and Medicaid Services haben kĂĽrzlich eine schriftliche E-Mail verschickt Benachrichtigungen ĂĽber Datenschutzverletzungen auf 946.801 Personen, als es zusammen mit einer Vielzahl von Unternehmen aus allen Branchen weltweit auf die Fallen geriet, als Anfang des Jahres eine Schwachstelle in einer Drittanbieteranwendung fĂĽr die DateiĂĽbertragung entdeckt wurde.
CMS sagte in dem Brief, dass geschützte Gesundheitsinformationen oder andere persönlich identifizierbare Informationen möglicherweise bei einem Cyberverstoß im Zusammenhang mit der MOVEit-Software kompromittiert wurden.
AUF DEM RECORD
„Cybersicherheit bleibt eine sich ständig weiterentwickelnde Herausforderung in unserem Gesundheitsökosystem und es muss mehr getan werden, um Cyberangriffe zu verhindern und die Patientensicherheit zu gewährleisten“, sagte Andrea Palm, stellvertretende Sekretärin des HHS, in einer Erklärung. „Klare Maßnahmen zur Rechenschaftspflicht und verbindliche Cybersicherheitsanforderungen für alle Organisationen, die sensible Daten speichern, sind unerlässlich.“
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Publikation von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, D.C. statt Erfahren Sie mehr und registrieren Sie sich.
