EspañolAtención médica, sector específico, legislación y litigios El proyecto de ley es similar a las propuestas del Senado, pero ¿tomará medidas el Congreso antes de las elecciones? Marianne Kolbasuk McGee (HealthInfoSec) • 30 de agosto de 2024 Imagen: Getty Un proyecto de ley bipartidista de la Cámara de Representantes tiene como objetivo reforzar la ciberseguridad en el sector de la atención médica al exigir una colaboración más sólida entre CISA y el Departamento de Salud y Servicios Humanos. El proyecto de ley es un complemento de una legislación bipartidista casi idéntica presentada en el Senado en julio. Ver también: Seminario web en vivo | Creación de una empresa y un ecosistema de atención médica más resilientes Los legisladores dieron a conocer la legislación de la Cámara de Representantes, la Ley de Ciberseguridad en la Atención Médica, el jueves. El proyecto de ley está patrocinado por los representantes estadounidenses Jason Crow, demócrata de Colorado; Brian Fitzpatrick, republicano de Pensilvania, y Andy Kim, DN.J. «Los ciberatacantes tienen como objetivo los datos médicos de los estadounidenses y deben ser detenidos», dijo Crow en un comunicado. El país necesita reforzar sus defensas cibernéticas para proteger mejor «la información más personal y sensible de los estadounidenses de actores maliciosos», dijo. El proyecto de ley de la Cámara pide la creación de un enlace dentro de CISA para coordinar con el HHS durante incidentes de ciberseguridad y colaborar en el apoyo a las entidades del sector de la salud y la salud pública con capacitación en ciberseguridad y otros recursos relacionados. Esa capacitación propuesta que CISA pone a disposición de los «propietarios y operadores» de tecnologías, servicios y utilidades en el sector de la salud y la salud pública incluye formas de mitigar los riesgos de seguridad para los sistemas de información. Los legisladores señalaron la interrupción masiva del ecosistema de la atención médica a principios de este año por el ataque de ransomware a Change Healthcare, que puso de relieve «la falta de preparación y capacitación durante el proceso de recuperación». La versión del Senado del proyecto de ley, la Ley de Ciberseguridad de la Atención Médica de 2024, presentada en julio por los senadores Jacky Rosen, demócrata por Nevada; Todd Young, republicano por Indiana; y Angus King, I-Maine, propone acciones similares, incluyendo un nuevo enlace dentro de CISA para trabajar con HHS en la ciberseguridad del sector de la salud (ver: Bill Calls for CISA, HHS Effort to Boost Health Sector Cyber). Las propuestas en las versiones de la Cámara y el Senado de los proyectos de ley codificarían con la supervisión del Congreso mucho de lo que se ha estado haciendo dentro de la estructura organizativa de ciberseguridad en HHS en asociación con CISA, dijeron algunos expertos. «Si bien es alentador ver el apoyo bipartidista para abordar este problema, HHS y CISA han estado trabajando hacia este objetivo común durante años. Gran parte de lo que se describe en este proyecto de ley es documentar el trabajo que se está realizando actualmente», dijo Kate Pierce, directora ejecutiva de asuntos gubernamentales en la empresa de seguridad Fortified Health Security. «Capturar los detalles dentro de la legislación garantizaría que los próximos cambios en la administración no afecten negativamente el arduo trabajo que se está realizando actualmente», dijo Pierce, ex CIO y CISO de larga data en un hospital de Vermont. «Una cosa que el sector no necesita es que se creen más estudios e informes. No hay necesidad de una evaluación adicional. «Es hora de poner el plan en práctica», dijo. ¿Ganará fuerza la legislación? Los dos proyectos de ley son los últimos de un puñado de esfuerzos bipartidistas del Congreso en los últimos años destinados a reforzar la ciberseguridad en la atención médica y la salud pública. Hasta ahora, la mayoría de las otras propuestas no han avanzado mucho en un Congreso que está dividido principalmente en líneas partidarias. «Tan cerca como estamos de la elección, puede ser difícil que cualquiera de los proyectos de ley se apruebe», predijo Malachi Walker, estratega de seguridad federal en la empresa de seguridad DomainTools. «El proyecto de ley del senador Rosen tiene apoyo bipartidista y una buena posibilidad de pasar por el Senado, pero con más representantes y un apoyo bipartidista menos delineado en la Cámara, será una batalla cuesta arriba para que el proyecto de ley de Rosen salga del comité y para que el proyecto de ley de Crow se apruebe en absoluto», dijo. Pero otros son más optimistas. «El número de miembros de ambas cámaras que hablan sobre ciberseguridad ha aumentado drásticamente», dijo Doug Britton, director de estrategia de RunSafe Security. «Las solicitudes de información de las agencias sobre cuestiones cibernéticas se han disparado. “Las consecuencias de los fallos en este ámbito son claras. Creo que podrían ganar terreno”, afirmó. Pierce ofreció una valoración similar. “Estos proyectos de ley podrían ganar terreno en el Congreso, ya que ambos partidos coinciden en que la ciberseguridad en el ámbito sanitario es un riesgo nacional que debe abordarse”, afirmó. “Con la incertidumbre que se avecina con las próximas elecciones, esta es una forma de consolidar la base de un programa básico de ciberseguridad para el ámbito sanitario en concreto”. El sector sanitario podría beneficiarse potencialmente de cualquier ayuda cibernética que pudiera ofrecer el gobierno, afirmaron los expertos. “Es difícil proteger el ámbito sanitario porque los adversarios con motivaciones económicas, sabiendo que hay vidas en juego si se comprometen los sistemas, ven a las organizaciones sanitarias como grupos que harán cualquier cosa para reanudar sus actividades lo antes posible”, afirmó Walker. “Si pueden comprometer un sistema en línea, los adversarios creen que pueden conseguir que se pague un rescate con poca resistencia”, afirmó. “CISA y HHS tienen un interés personal en aprender todo lo que puedan sobre las personas u organizaciones que se esconden detrás de los dominios o direcciones IP observados en infracciones cibernéticas exitosas o intentadas”, afirmó. Las propuestas de los proyectos de ley Crow y Rosen “muestran signos de un primer paso para abordar estas amenazas y elevar el nivel de la ciberseguridad en el sector”, dijo Walker. “Ambos proyectos de ley incentivan el intercambio de información, la capacitación y la educación en ciberseguridad para los propietarios y operadores de atención médica y describen un plan de gestión de riesgos que no solo es específico para el sector de la atención médica, sino que describe dónde se necesita apoyo especializado en el sector de la salud pública”, dijo. En ambos proyectos de ley faltan las menciones a los objetivos de desempeño de ciberseguridad del HHS que se publicaron a principios de este año. Los objetivos tienen como objetivo ayudar a elevar el nivel de la seguridad de los datos de atención médica. El HHS había dicho que las CPG son voluntarias, pero ha insinuado que podrían convertirse en mandatos para algunas entidades del sector de la atención médica, como los hospitales (ver: Los federales agitan palos y zanahorias en el sector de la salud para reforzar la ciberseguridad). Otro factor importante que los proyectos de ley no abordan es la financiación. “La falta de financiación para apoyar estos esfuerzos es uno de los elementos cruciales que parece faltar”, dijo Pierce. “Muchas entidades de atención médica no podrán elevar significativamente el nivel sin apoyo financiero”. Mientras aumentan los ciberataques al sector de la atención médica y la salud pública, también aumentan otros desafíos, dijo. “Hay demasiadas prioridades en competencia, especialmente en las organizaciones de atención médica rurales más pequeñas, como para priorizar la ciberdefensa a menos que sea necesaria, como por ejemplo, hacer que las CPG pasen de ser voluntarias a obligatorias, y haya fondos para respaldarla”, dijo. La propuesta presupuestaria de 1.300 millones de dólares del HHS para el año fiscal 2025 no es suficiente para tener un impacto significativo, “pero es un punto de partida”, dijo Pierce. URL original de la publicación: https://www.databreachtoday.com/cisa-hhs-would-team-up-in-health-sector-under-house-bill-a-26176