Atención médica, industrias específicas, estándares, regulaciones y cumplimiento Se esperan nuevos mandatos cibernéticos mínimos para los hospitales, pero ¿es eso suficiente? Marianne Kolbasuk McGee (HealthInfoSec) •20 de junio de 2024 Se espera que las próximas regulaciones del HHS exijan estándares mínimos de ciberseguridad para los hospitales. (Imagen: Getty Images) En las próximas semanas, la administración Biden emitirá nuevas regulaciones destinadas a reforzar la ciberseguridad en el sector sanitario de EE. UU. Se espera que los hospitales sean las primeras entidades –al menos inicialmente– obligadas a implementar nuevos mandatos “mínimos” basados ​​en los “objetivos de desempeño en ciberseguridad” que el Departamento de Salud y Servicios Humanos publicó en enero. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son críticas La administración ha estado colaborando durante meses con grupos del sector de la salud y líderes de ciberseguridad para elaborar las nuevas regulaciones, que se espera que se emitan en unas semanas, dijo la asesora adjunta de seguridad nacional Anne Neuberger durante un evento en Washington, DC, organizado esta semana por el medio de noticias Semafor. El sector de la salud sigue siendo uno de los más vulnerables de todos los sectores de infraestructura crítica a un aumento interminable de amenazas, dijo. “Después del COVID, fue un momento difícil. Se implementaron más sistemas. Por lo tanto, los hospitales realmente necesitan concentrarse y redoblar la seguridad”, dijo. Garantizar que los hospitales puedan hacer un trabajo mucho mejor frente a las ciberamenazas que causan graves perturbaciones en la atención de los pacientes “ha sido realmente una prioridad para el presidente”, dijo Neuberger en el evento. “Estamos trabajando en una norma relacionada con prácticas mínimas de seguridad para los hospitales. Hemos estado trabajando estrechamente con la Asociación Estadounidense de Hospitales para obtener aportaciones del sector”, dijo. Objetivos de desempeño de ciberseguridad En enero, el HHS emitió 10 objetivos de desempeño de ciberseguridad “esenciales” y 10 “mejorados” diseñados para proteger mejor al sector de la salud de los ataques cibernéticos (ver: HHS detalla nuevos objetivos de desempeño cibernético para el sector de la salud). Si bien las CPG se denominaron “voluntarias” en ese momento, la propuesta de presupuesto del HHS para el año fiscal 2025 publicada en marzo incluye sanciones financieras en forma de pagos reducidos a ciertos hospitales que no cumplen con los estándares de ciberseguridad, a partir del año fiscal 2029 (ver: Feds Wave Palos y zanahorias en el sector de la salud para reforzar la cibernética). Se espera que las nuevas regulaciones del HHS en las próximas semanas se centren en las GPC “esenciales”, para empezar. Entre ellas se incluyen las mejores prácticas y controles, como la autenticación multifactor y el cifrado sólido. «Se espera que los próximos mandatos sean importantes, y hemos estado preparando a nuestros miembros durante años para este momento», dijo Mari Savickis, vicepresidenta de políticas públicas del College of Healthcare Information Management Executives, una asociación profesional de CIO y profesionales de la salud. CISO. «Un gran desafío es garantizar que todo lo que necesitan realmente mueva la aguja y logre los resultados que todos queremos ver, que son menos ataques exitosos, menos impactos en la atención al paciente y defensas cibernéticas más sólidas», dijo Savickis, uno de los líderes de la industria. participando en el reciente simposio de la Casa Blanca organizado por el Consejo de Seguridad Nacional para intercambiar ideas sobre formas de mejorar la ciberseguridad del sector de la salud. Se espera que los hospitales –probablemente los más grandes al menos inicialmente– sean el primer grupo en cumplir con los nuevos requisitos, y es probable que los incentivos y desincentivos financieros de los Centros de Servicios de Medicare y Medicaid formen parte de esa ecuación. Pero centrarse en los más de 7.300 hospitales de EE.UU. no será suficiente para dar un gran salto en la madurez de la ciberseguridad del sector, dijeron algunos expertos. Esto se debe a que, si bien los ataques de ransomware a hospitales han causado agitación en la prestación de atención al paciente y plantean graves problemas de seguridad, muchos sectores no hospitalarios también han sufrido incidentes cibernéticos igualmente perturbadores. Esto incluye aseguradoras de salud y proveedores externos, en particular el ciberataque de febrero a la unidad de servicios de TI Change Healthcare de UnitedHealth Group, que puso de rodillas al sector en términos de interrupción de las operaciones comerciales críticas que respaldan la atención al paciente (ver: Change Healthcare Attack). Devastador’ para las prácticas médicas). “Centrarse únicamente en los hospitales cubre sólo la mitad del problema”, dijo Greg García, director ejecutivo de ciberseguridad del Consejo Coordinador del Sector de Atención Médica y Salud Pública, un enlace entre los numerosos subsectores del sector y el gobierno federal. «Terceros como Change Healthcare y muchos otros proveedores de tecnología y servicios son vectores de amenazas vulnerables que no cumplen con un estándar de seguridad suficientemente alto, particularmente porque la seguridad del paciente está en juego», dijo García, quien participó en el reciente foro de la Casa Blanca. Otros expertos coinciden con esa valoración. “Los hospitales y los proveedores son sólo una parte del pastel. Si el resto del ecosistema de la atención sanitaria no avanza también, entonces sólo estaremos resolviendo una pieza de un rompecabezas mucho mayor”, afirmó Savickis. “Es importante destacar que, si bien los hospitales pueden mejorar sus prácticas, vale la pena repetir que dependen de herramientas que compran a terceros y que su seguridad está fuera del control del hospital. Se trata de que la ciberseguridad sea una responsabilidad compartida”, dijo. Además, muchos hospitales y otras organizaciones de atención médica con problemas de efectivo y recursos simplemente no tienen suficientes recursos ni habilidades para implementar prácticas y controles de seguridad críticos –incluso los “esenciales”– y mucho menos prácticas “mejoradas” como las pruebas de ciberseguridad. «CHIME respalda la necesidad de un conjunto de mejores prácticas y estándares de ciberseguridad, pero cumplirlos sin financiación presentará desafíos, especialmente para los hospitales más pequeños y con escasos recursos», dijo Savickis. Los líderes del Sector de la Ley de Equilibrio están tratando de debatir algunos de estos detalles más finos, dijo Neuberger. “¿Cuáles son las políticas que el gobierno necesita implementar? ¿Cuáles son las políticas onerosas en las que podemos mejorar?” La propuesta de presupuesto del HHS para el año fiscal 2025 incluye $1.3 mil millones en ayuda financiera, como subvenciones, para que los hospitales inviertan en ciberseguridad durante los próximos años. Eso “es un comienzo”, dijo García. “Pero el uso de un sistema punitivo de CMS que retenga una parte del reembolso por incumplimiento será difícil de aplicar y será un factor de estrés adicional para los proveedores desatendidos. Centrarse en el cumplimiento de proveedores desatendidos con recursos escasos puede ser una carga para la implementación real de la seguridad”. “Muchos de los ataques contra la atención médica son ataques sofisticados”, dijo Anahi Santiago, CISO de ChristianaCare y participante en el foro de la Casa Blanca. «Las CPG son una excelente base para que las organizaciones maduren sus programas de seguridad de la información y las bases necesarias para mejorar la postura de seguridad de una organización; sin embargo, no pueden garantizar la capacidad de una organización para defenderse de los tipos de ataques vistos en nuestra industria», dijo. . «Veo las CPG como una gran área de enfoque para las organizaciones que luchan por saber dónde invertir en personas, procesos y tecnología, pero reconozco que para muchas organizaciones desatendidas, todavía será difícil implementarlas». Para ayudar a abordar algunas de las preocupaciones de las entidades con escasos recursos, la Casa Blanca, en colaboración con la AHA, forjó una asociación con Microsoft y Google para proporcionar capacitación gratuita por tiempo limitado y tecnología de ciberseguridad para los 1.800 hospitales rurales del país (ver : Microsoft y Google ofrecen ayuda cibernética a hospitales rurales). «Esos hospitales son realmente los únicos en el área circundante, por lo que si son afectados por un ciberataque, los estadounidenses no tienen acceso a la atención médica», dijo Neuberger. Pero no es probable que la capacitación cibernética recientemente anunciada por Google y Microsoft (dos gigantes tecnológicos que no se especializan en atención médica) sea efectiva con el tiempo, especialmente porque la ayuda gratuita o con descuento termina después de solo un año, dijo García. “¿Qué pasa después de eso? También hay cierto desconcierto en la comunidad por el hecho de que la Casa Blanca esté promoviendo los intereses comerciales de las grandes empresas tecnológicas en la atención médica, mientras que hay numerosas empresas especializadas dirigidas por ex CISO de atención médica que brindan servicios de ciberseguridad sanitaria exclusivamente”, dijo. García dijo que si bien las CPG son generalmente el enfoque correcto para una mejor ciberseguridad, “constituyen sólo el ‘qué’ en ‘lo que hay que hacer’”. El HSCC está ayudando a los proveedores y otras partes interesadas de la industria de la salud a planificar el “cómo” – cómo hacerlo y organizarse en torno a ello”, dijo. Las Prácticas de ciberseguridad de la industria de la salud publicadas conjuntamente por HSCC y HHS en 2023 son un ejemplo del “cómo”, dijo García. “Si la Casa Blanca quiere cambiar la situación, tendrá que impulsar la adopción del IPCA y respaldar el Plan Estratégico de Ciberseguridad de la Industria de la Salud de cinco años de duración del HSCC, que establece un plan de bienestar en todo el sector con un amplio espectro de estrategias de ciberseguridad. para llevarnos a una condición estable para 2029”, dijo (ver: HSCC emite un plan cibernético de ‘llamado a la acción’ para el sector de la salud). “En general, creemos que la colaboración entre el HHS y las más de 400 organizaciones de atención médica del HSCC está comenzando a ver un impulso real en términos de alineación operativa y de políticas, y la Casa Blanca debería apoyar esa asociación en lugar de poner el dedo en el dique. » El HHS rechazó las solicitudes de comentarios de Information Security Media Group, diciendo que no comenta sobre la elaboración de reglas pendientes. La AHA tampoco respondió de inmediato a la solicitud de comentarios del ISMG. Esfuerzos estatales Mientras el gobierno federal trabaja para establecer nuevas regulaciones de ciberseguridad para el sector de la salud, al menos un estado ya tiene una ventaja en la redacción de sus propios requisitos cibernéticos para hospitales (ver: El estado de Nueva York busca nuevas regulaciones cibernéticas para hospitales; precio de $500 millones). En diciembre, el estado de Nueva York publicó un anteproyecto de reglamento cibernético para “hospitales generales”, que luego pasó por un período de 60 días de comentarios públicos. El Departamento de Salud del estado hizo enmiendas y publicó normas revisadas el 15 de mayo, que actualmente se encuentra en un período de comentarios públicos programado para cerrar el 1 de julio, dijo al ISMG una portavoz del DOH del estado. “Después de que cierre este período actual de comentarios públicos, el Departamento evaluará una vez más todos los comentarios antes de llevar la regulación nuevamente al Consejo de Salud Pública y Planificación de la Salud para su aprobación y adopción final. Una vez adoptadas, los hospitales tendrán un año para cumplir con las nuevas regulaciones”. «Bajo el liderazgo de la gobernadora Kathy Hochul, el estado de Nueva York ha mejorado significativamente sus defensas cibernéticas, que son de vital importancia para nuestro sistema de atención médica», dijo el Dr. James McDonald, comisionado de salud del estado de Nueva York, en una declaración al ISMG. “Cuando protegemos los hospitales, protegemos a los pacientes. Estas regulaciones hospitalarias de ciberseguridad líderes a nivel nacional se basan en la prioridad del Gobernador sobre el estado del estado al ayudar a proteger los sistemas críticos de las amenazas cibernéticas y garantizar que los hospitales y centros de atención médica de Nueva York permanezcan seguros”. Las últimas regulaciones cibernéticas propuestas por el estado de Nueva York para hospitales incluyen una larga lista de requisitos que van desde la realización de evaluaciones de riesgos hasta la implementación de autenticación multifactor. URL de la publicación original: https://www.databreachtoday.com/will-upcoming-hhs-cyber-regs-move-needle-in-health-sector-a-25582