बाद एक साल जिसमें हेल्थकेयर सेक्टर साइबर-हमलों का बार-बार शिकार था, एक नया प्रस्तावित उपाय स्वास्थ्य और मानव सेवा विभाग (एचएचएस) को न्यूनतम साइबर सुरक्षा मानकों के एक सेट को तैयार करने के लिए निर्देशित करेगा और एजेंसी को वार्षिक ऑडिट करने की आवश्यकता होगी। हेल्थ इन्फ्रास्ट्रक्चर सिक्योरिटी एंड जवाबदेही एक्ट (HASAA) हेल्थ इंश्योरेंस पोर्टेबिलिटी एंड जवाबदेही अधिनियम (HIPAA) में संशोधन करता है।
का एक तत्व HASAA में HHS जुर्माना पर वैधानिक कैप को हटाना शामिल होगा, जो विशेष रूप से बड़े निगमों के बीच गैर -अनुपालन को रोकने के लिए महत्वपूर्ण दंड की अनुमति देता है।
नैशविले-आधारित के सीईओ स्टीव कैगले क्लियरवॉटर, माना जाता है कि उल्लंघन में शामिल किसी भी संगठन के लिए जुर्माना पर एक टोपी को हटाने का सुझाव प्रस्तावित बिल का एक तत्व है, जिसका अप्रत्याशित प्रभाव हो सकता है, विशेष रूप से छोटे संगठनों पर। स्वास्थ्य सेवा नवाचार हाल ही में स्टीव कैगले के साथ अधिक जानने के लिए बात की।
प्रस्तावित HASAA बिल पर आपके क्या विचार हैं?
स्वास्थ्य अवसंरचना सुरक्षा और जवाबदेही अधिनियम (HISAA)-सीनेटरों एलिजाबेथ वॉरेन (सेन.-डी-एमए) और रॉन विडेन (सेन-डी-डी-ओआर) द्वारा प्रस्तावित-का उद्देश्य सख्त जवाबदेही उपायों और वित्तीय दंडों को पेश करके स्वास्थ्य में साइबर सुरक्षा को मजबूत करना है। उन संगठनों के लिए जो रोगी डेटा की रक्षा करने में विफल रहते हैं। यह अधिनियम मौजूदा नियमों में अंतराल को संबोधित करने और अधिक व्यापक मानकों और प्रवर्तन के लिए कॉल करने का भी प्रयास करता है। यह बिल मानकों और प्रवर्तनों के बारे में हेल्थकेयर इकोसिस्टम में सभी हितधारकों को शामिल करने के महत्व को मान्यता देता है, क्योंकि यह दोनों कवर किए गए संस्थाओं और व्यावसायिक सहयोगियों (जैसा कि HIPAA के तहत परिभाषित किया गया है) को संदर्भित करता है और अस्पतालों को बाहर नहीं कर रहा है क्योंकि हमने कुछ अन्य साइबर सुरक्षा पहल देखी है। करना। हिसा कई वर्षों से प्रतीत होता है, इस पर $ 1.3B फंडिंग के लिए कहता है। हालांकि यह एक अच्छी शुरुआत है, यह छोटे, नकदी-तली हुई स्वास्थ्य देखभाल संगठनों को लगातार साइबर सुरक्षा मानकों को लागू करने और बनाए रखने में मदद करने के लिए पर्याप्त नहीं है। हेल्थकेयर सेक्टर को छोटे अस्पतालों और स्वास्थ्य सेवा प्रदाता समूहों के लिए मजबूत संसाधनों और वित्तीय सहायता की आवश्यकता है।
संगठनों के किस प्रकार के बदलाव करने की उम्मीद की जाती है, और यह कितना चुनौतीपूर्ण हो सकता है?
बिल को कवर किए गए संस्थाओं और व्यावसायिक सहयोगियों (HIPAA द्वारा परिभाषित) के लिए न्यूनतम और बढ़ाया साइबर सुरक्षा मानकों की स्थापना के लिए कॉल करता है, कवर किए गए संस्थाओं के लिए लागू होने वाले मानकों के साथ, जो “राष्ट्रीय सुरक्षा के लिए सिस्टम महत्व” हैं और इन्हें अद्यतन करने की आवश्यकता है हर दो साल से कम। संभवतः, ये 2024 की शुरुआत में प्रकाशित एचएचएस “स्वैच्छिक” साइबर सुरक्षा प्रथाओं के साथ संरेखित होंगे। इसके लिए कवर किए गए संस्थाओं और व्यावसायिक सहयोगियों को भी HIPAA सुरक्षा नियम में मौजूदा जोखिम विश्लेषण आवश्यकता को व्यापक बनाने के लिए अपने विक्रेताओं और वर्तमान आवश्यकता का आकलन करने के लिए सभी की आवश्यकता होगी। आंतरिक प्रणालियाँ जो इलेक्ट्रॉनिक संरक्षित स्वास्थ्य सूचना (EPHI) का निर्माण, रखरखाव, संचारित या संग्रहीत करती हैं।
इस तथ्य का तथ्य यह है कि ये प्रथाएं नई नहीं हैं। वे न्यूनतम उद्योग मानकों पर आधारित हैं जो NIST साइबर सुरक्षा ढांचे और 405 (डी) स्वास्थ्य उद्योग साइबर सुरक्षा प्रथाओं गाइड में कुछ समय के लिए मौजूद हैं। यह महसूस करना महत्वपूर्ण है कि कई स्वास्थ्य सेवा संगठन पहले से ही इन प्रथाओं का पालन कर रहे हैं और, कई मामलों में, इन बुनियादी सुरक्षा नियंत्रणों से परे अच्छी तरह से चल रहे हैं। हालाँकि, अन्य संगठन इन मानकों का पालन नहीं करना चाहते हैं; इसलिए, मानकों को पूरा करने के लिए एक आवश्यकता बनाने से स्पष्ट होगा कि सुरक्षा प्रथाएं अनिवार्य हैं और पूरे उद्योग में खेल के मैदान को समतल करती हैं। हालांकि स्पष्ट और सुसंगत मानकों की आवश्यकता होती है जो आवश्यक हैं – वैकल्पिक नहीं – यह पहचानना महत्वपूर्ण है कि स्वास्थ्य सेवा संगठन जो इन मानकों को पूरा करने के लिए संसाधनों या निवेशों को वहन नहीं कर सकते हैं, उन्हें नए नियमों का पालन करने में गंभीर चुनौतियां होंगी।
साइबर सुरक्षा आवश्यकताओं को संगठन के आकार के लिए उपयुक्त होना चाहिए, और हमें उन संगठनों को आवश्यक संसाधन प्रदान करने में यथार्थवादी होना चाहिए जो इन आवश्यकताओं को पूरा करने के लिए कौशल नहीं कर सकते हैं या उनके पास कौशल नहीं हैं। ये संगठन तृतीय-पक्ष स्वास्थ्य सेवा साइबर सुरक्षा फर्मों के साथ सहयोग करने से लाभान्वित हो सकते हैं जो एक आउटसोर्स मॉडल के तहत इन कार्यक्रमों को लागू करने और निष्पादित करने में विशेषज्ञ हैं।
क्या प्रस्तावित बिल में कुछ भी खड़ा है?
कुछ चीजें बाहर खड़ी हैं।
बिल कवर किए गए संस्थाओं और व्यावसायिक सहयोगियों के लिए आवश्यकताओं के लिए कॉल करता है ताकि घटना की प्रतिक्रिया, व्यवसाय की निरंतरता, और आपदा वसूली योजनाओं और तनाव का परीक्षण करें इन योजनाओं का परीक्षण यह सुनिश्चित करने के लिए कि वे सिस्टम को तुरंत पुनर्स्थापित कर सकते हैं और इन परीक्षणों को दस्तावेज कर सकते हैं। स्वास्थ्य सेवा में इनकी आवश्यकता है, क्योंकि हमें यह मान लेना चाहिए कि साइबर सुरक्षा कार्यक्रम कितना भी मजबूत क्यों न हो, किसी बिंदु पर, एक सुरक्षा घटना होगी। हेल्थकेयर संगठन की पता लगाने, शामिल करने, प्रतिक्रिया करने, ड्यूरेस के तहत संचालित करने, और पुनर्प्राप्त करने की क्षमता अंततः रोगी की सुरक्षा और ईपीएचआई के समझौते पर प्रभाव का निर्धारण करेगी।
इसके अतिरिक्त, बिल सीईओ और सीआईएसओ को औपचारिक रूप से जवाबदेह बनाने के लिए कहता है कि उनका संगठन सुरक्षा न्यूनतम मानकों का अनुपालन करता है और उन्हें अपनी वेबसाइट पर इस सत्यापन को पोस्ट करने की आवश्यकता होती है। इस प्रस्ताव को उद्योग में बहुत ध्यान दिया गया है, और कई लोग सोचते हैं कि यह सीआईएसओएस को और आगे बढ़ा सकता है, जो पहले से ही कम वेतन और कम संसाधनों को स्वीकार करते हैं, स्वास्थ्य सेवा संगठनों में काम करने से, क्योंकि उन्हें गैर -अनुरूपता के लिए जवाबदेह ठहराया जा सकता है कि वे वजह से नियंत्रित नहीं कर सकते हैं आवश्यकताओं को पूरा करने के लिए धन और समर्थन की कमी के लिए।
यह देखना अच्छा है कि HISAA HIPAA के तहत व्यापार सहयोगियों को संबोधित करता है, और न केवल अस्पतालों या प्रदाताओं को। जैसा कि हमने पिछले कई वर्षों में बड़े पैमाने पर रैंसमवेयर हमलों और उल्लंघनों के साथ देखा है, हेल्थकेयर एक परस्पर जुदा हुआ क्षेत्र है, जिसमें आपूर्ति श्रृंखला के कई हिस्सों के बीच साझा की गई सूचना और प्रौद्योगिकी साझा की गई है। यह व्यापक कमजोरियां पैदा करता है, और खतरे के अभिनेताओं ने विशेष रूप से प्रदाताओं और भुगतानकर्ताओं को प्रभावित करने के लिए तीसरे पक्ष के संगठनों में इनका शोषण किया है। सेक्टर के सभी हिस्सों को क्षेत्र को सुरक्षित और लचीला रखने के लिए जिम्मेदारी साझा करनी चाहिए। भविष्य के नियमों को सभी संगठनों को जवाबदेह ठहराना चाहिए, न कि केवल अस्पतालों या अन्य प्रकार के स्वास्थ्य सेवा संगठनों को।
क्या आप उन संगठनों के बीच अंतर को स्पष्ट कर सकते हैं जो एक उल्लंघन को रोकने में लापरवाह हैं और जो अच्छे विश्वास में कार्य करते हैं?
कई हेल्थकेयर प्रदाता, भुगतानकर्ता और व्यवसाय सहयोगी एनआईएसटी साइबर सुरक्षा ढांचे और 405 (डी) स्वास्थ्य उद्योग साइबर सुरक्षा प्रथाओं (एचआईसीपी) जैसे उद्योग मानकों के आधार पर अपने साइबर सुरक्षा प्रथाओं को लागू करने, निष्पादित करने और परिपक्व करने के लिए जिम्मेदारी से कार्य करते हैं। एक संगठन के लिए जिम्मेदारी से और अच्छे विश्वास में कार्य करने के लिए, उसे अपनी सभी सूचना प्रणालियों के लगातार जोखिम विश्लेषण का संचालन करना चाहिए, और ऐसा तब करना चाहिए जब उसके सिस्टम या संगठन में परिवर्तन किए जाते हैं।
HIPAA सुरक्षा नियम के तहत जोखिम विश्लेषण की प्रक्रिया की आवश्यकता होती है, और यह जानबूझकर डिज़ाइन किया गया है कि संगठनों को आकलन करने, विश्लेषण करने और यह निर्धारित करने की अनुमति देने के लिए कि उनके जोखिम सहिष्णुता से ऊपर जोखिम कहां हैं। जब तक वे सर्वोत्तम प्रथाओं को पूरा कर रहे हैं, सूचना प्रणाली-आधारित जोखिम विश्लेषण की इस चल रही प्रक्रिया को लागू कर रहे हैं, और उच्च जोखिमों को कम कर रहे हैं, वे अच्छे विश्वास में काम कर रहे हैं।
जोखिम कभी भी शून्य तक नहीं जाता है, और इसलिए, ऐसे संगठन होंगे जो सभी साइबर सुरक्षा मानकों को पूरा करते हैं, लेकिन फिर भी एक खतरे वाले अभिनेता द्वारा एक उल्लंघन या रैंसमवेयर हमला होता है जो विशेष रूप से इसे लक्षित करता है। ये खतरा अभिनेता आम तौर पर अच्छी तरह से वित्त पोषित संगठित आपराधिक संगठन हैं जो राष्ट्र-राज्यों द्वारा परेशान और समर्थित हैं। यह उचित और अनुचित नहीं है कि एक स्वास्थ्य सेवा प्रदाता को जिम्मेदारी से काम करने के लिए दंडित किया जाए, लेकिन एक अपराधी द्वारा हमला और उल्लंघन किया गया। यह एक ऐसी स्थिति से अलग है जहां एक संगठन की प्रबंधन टीम ने जानबूझकर बुनियादी साइबर सुरक्षा प्रथाओं को लागू नहीं किया, HIPAA सुरक्षा नियम के तहत जोखिम विश्लेषण की आवश्यकता को नजरअंदाज किया, या ऐसा करने के साधन होने के दौरान जानबूझकर उच्च जोखिमों को संबोधित करने में विफल रहा या ऐसा करने या कुछ स्तर पर ऐसा करने का साधन ।
संगठन जो बुनियादी साइबर सुरक्षा आवश्यकताओं को अनदेखा करने का निर्णय लेते हैं या उनकी सभी सूचना प्रणालियों का जोखिम विश्लेषण करने में विफल रहते हैं, फिर भी रोगियों के इलाज के लिए नई तकनीकों पर लागू करना और भरोसा करना जारी है या संवेदनशील डेटा से जुड़े संचालन का प्रदर्शन करना जिम्मेदारी से कार्य नहीं कर रहा है, और एक मजबूत मामला है। उन्हें जवाबदेह ठहराने के लिए, क्योंकि इन निर्णयों से रोगी को नुकसान हो सकता है और अन्य संगठनों को नुकसान हो सकता है जो सेवाओं के लिए उन पर भरोसा करते हैं।
एक ब्रीच से जुड़े संगठन पर जुर्माना पर एक टोपी को हटाने का क्या प्रभाव पड़ेगा?
जुर्माना पर कैप को हटाने का केवल तभी प्रभाव पड़ेगा जब मौजूदा HIPAA नियमों और जुर्माना के आवेदन का अधिक प्रवर्तन हो। आज तक, सीमित प्रवर्तन किया गया है, जो आम तौर पर 5 साल पहले से HIPAA उल्लंघन से संबंधित है। बड़े जुर्माना का आकलन करने के लिए जांच और प्रवर्तन कार्यों के लिए अधिक धनराशि आवंटित करने की आवश्यकता होगी। यह धन मानकों को पूरा करने के लिए साधन या संसाधनों के बिना उन संगठनों के लिए साइबर सुरक्षा कार्यक्रमों के वित्तपोषण पर बेहतर होगा।
संघीय धन के माध्यम से सुरक्षा सुधार के लिए प्रोत्साहन के बारे में आपकी क्या राय है?
छोटे स्वास्थ्य सेवा प्रदाताओं को दंड के साथ धमकी देने के बजाय समर्थन की आवश्यकता होती है। एक अधिक प्रभावी दृष्टिकोण में संघीय वित्त पोषण के माध्यम से छोटे, संसाधन-विवश संस्थाओं के लिए सुरक्षा सुधारों को प्रोत्साहित करना शामिल हो सकता है, जिससे HIPAA सुरक्षा आवश्यकताओं को पूरा करने के लिए धन का उपयोग किया जाना चाहिए। शायद हम बड़े संगठनों से उठाए गए जुर्माना और दंड का उपयोग कर सकते हैं, जिनके साधन हैं, लेकिन छोटे संगठनों के लिए फंड अनुदान में मदद करने के लिए लापरवाह हैं जो अपने साइबर सुरक्षा मुद्रा में सुधार करना चाहते हैं, लेकिन ऐसा करने का जोखिम नहीं उठा सकते हैं।
साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (CMMC) के समान एक मॉडल को लागू करने पर आपके क्या विचार हैं?
HASAA बिल भी कार्यान्वयन और मानकों के अनुपालन का आकलन करने के लिए तृतीय-पक्ष ऑडिट के लिए कहता है, जो कि तीसरे पक्ष के मूल्यांकनकर्ताओं को वीटेट और प्रमाणित नहीं होने पर चुनौतीपूर्ण हो सकता है। जैसा कि हम आज हेल्थकेयर में देखते हैं, कई फर्मों ने अपने आकलन को “HIPAA प्रमाणपत्र” के रूप में गलत तरीके से प्रस्तुत किया है या गलत तरीके से कहा है कि उन्होंने “जोखिम विश्लेषण” किया है, जो वास्तव में, HIPAA सुरक्षा नियम का एक अंतर मूल्यांकन है। बड़े संगठनों के लिए CMMC या PCI DSS के समान एक मॉडल, जिससे मूल्यांकनकर्ताओं को प्रमाणित किया जाना चाहिए और खुद को सख्त साख और आवश्यकताओं को बनाए रखना चाहिए, गुणवत्ता और स्थिरता सुनिश्चित करने के लिए फायदेमंद होगा। कम जोखिम वाले छोटे संगठनों और प्रमाणपत्रों के लिए भुगतान करने के लिए कम साधनों से आत्मनिर्भरता हो सकता है।
क्या आपके पास अतिरिक्त सलाह है?
कोई एक आकार-फिट-सभी समाधान नहीं है-एक संतुलित दृष्टिकोण जो संगठन के आकार, संसाधनों और परस्पर जुड़े जोखिमों पर विचार करता है, स्वास्थ्य सेवा साइबर सुरक्षा को मजबूत करेगा। विचारशील सुधारों और जवाबदेही उपायों के साथ, हम एक ऐसी प्रणाली का निर्माण कर सकते हैं जो सुरक्षा और निष्पक्षता को बढ़ावा देती है, अंततः स्वास्थ्य देखभाल परिदृश्य में रोगी डेटा की रक्षा करती है।
जबकि वित्त पोषण में $ 1.3B आवंटित किया जा रहा है, एक अच्छा प्रारंभिक बिंदु है, यह अभी भी अपर्याप्त है, और हमें अन्य संस्थाओं पर विचार करने की आवश्यकता है जो बड़े हो सकते हैं लेकिन आर्थिक रूप से संघर्ष कर रहे हैं, साथ ही साथ गैर-लाभकारी संगठनों भी। हम और अधिक प्रोत्साहन भी देखना चाहेंगे, जैसे कि हमारे पास सार्थक उपयोग/अंतर को बढ़ावा देने के साथ, निवेश को प्रेरित करने के लिए, केवल दंड और जुर्माना पर भरोसा करने के बजाय।
हमें यह पहचानना चाहिए कि छोटे संगठनों के पास साइबर हमले को विफल करने के लिए कई बुनियादी नियंत्रणों को लागू करने के लिए संसाधन और धन नहीं हैं। छोटे स्वास्थ्य सेवा संगठन, विशेष रूप से महत्वपूर्ण पहुंच अस्पताल और ग्रामीण स्वास्थ्य केंद्र, हमारी स्वास्थ्य प्रणाली के लिए महत्वपूर्ण हैं और हमारी सरकार से समर्थन की आवश्यकता होगी।
