Az Egyesült Államok Egészségügyi és Humán Szolgáltatások Minisztériuma (HHS) javaslatot tett a Health Insurance Portability and Accountability Act (HIPAA) 1996-os törvényének frissítésére, hogy a betegadatokat megvédje az egyre növekvő mértékű egészségügyi adatlopások fényében.
A HHS Polgári Jogi Hivatala (OCR) által előterjesztett szigorúbb kiberbiztonsági szabályok, amelyek várhatóan 60 napon belül véglegesítésre kerülnek, előírnák az egészségügyi szervezetek számára:
- a védett egészségügyi információk (PHI) titkosítását,
- a többtényezős hitelesítés bevezetését,
- a hálózataik szegmentálását, hogy megnehezítsék a támadók oldalirányú mozgását a rendszereken belül.
Az elmúlt években riasztó mértékben nőtt azon incidensek száma, amelyek 500 vagy annál több személyt érintenek, továbbá azoké az érintett egyéneké, akiket ilyen adatlopások sújtottak, valamint a hekkertámadások és zsarolóprogramok okozta fenyegetések mértéke is jelentősen emelkedett” – áll a HHS javaslatában.
„A tétlenség költsége nemcsak magas, hanem kritikus infrastruktúrát és a betegek biztonságát is veszélyezteti, továbbá számos káros következménnyel jár.”
Legutóbb az Egyesült Államok egyik legnagyobb magán-egészségügyi rendszere, az Ascension, értesítette közel 5,6 millió emberét, hogy személyes és egészségügyi adataikat ellopták egy májusi Black Basta zsarolóprogram-támadás során.
A kibertámadás után az Ascension alkalmazottainak papíron kellett nyomon követniük a gyógyszereket és az eljárásokat, mivel a betegek elektronikus nyilvántartásai nem voltak elérhetők. Az egészségügyi óriás emellett kénytelen volt egyes eszközöket offline állapotba helyezni, és azonnali orvosi szolgáltatásokat más egészségügyi egységekhez irányítani, hogy elkerüljék a sürgősségi triázs késedelmeit.