به‌روزرسانی قانون قابل انتقال و پاسخگویی بیمه سلامت با مقررات امنیت سایبری

به گزارش کارگروه بین الملل خبرگزاری سایبربان، آنه نیوبرگر، معاون مشاور امنیت ملی در حوزه فناوری سایبری و نوظهور، روز جمعه در جمع خبرنگاران بیان کرد:

قانون امنیتی پاسخگویی بیمه سلامت (HIPAA) اولین بار در سال ۲۰۰۳ منتشر شد و آخرین بار در سال ۲۰۱۳ بازنگری شد. این نخستین به‌روزرسانی این قانون ۲۰ ساله طی بیش از یک دهه است و از نهادهایی که داده‌های بهداشتی را مدیریت می‌کنند می‌خواهد اقداماتی مانند رمزنگاری این داده‌ها را انجام دهند تا در صورت حمله، این اطلاعات قابل انتشار در شبکه نباشند و افراد را به خطر نیندازند.

به گفته نیوبرگر، وزارت بهداشت و خدمات انسانی (HHS) پیش‌نویس این قوانین به‌روزرسانی‌شده را برای نظرخواهی عمومی در ثبت فدرال منتشر خواهد کرد.

بر اساس این قوانین جدید، مؤسسات بهداشتی همچنین باید شبکه‌های خود را برای تهدیدات نظارت کنند و بررسی‌های انطباقی انجام دهند تا اطمینان حاصل شود که به قوانین جدید قابل انتقال و پاسخگویی بیمه سلامت پایبند هستند.

نیوبرگر اضافه کرد که دولت تخمین زده است هزینه اجرای این مقررات پیشنهادی برای صنعت بهداشت در سال اول حدود ۹ میلیارد دلار و سالانه ۶ میلیارد دلار برای سال‌های دوم تا پنجم خواهد بود.

او توضیح داد:

هزینه عدم اقدام نه تنها بالا است بلکه زیرساخت‌های حیاتی و ایمنی بیماران را به خطر می‌اندازد و پیامدهای مضر دیگری نیز به همراه دارد.

قانون قابل انتقال و پاسخگویی بیمه سلامت که در ابتدا در سال ۱۹۹۶ تصویب شد، نحوه اشتراک‌گذاری داده‌های بهداشتی توسط بیمارستان‌ها، شرکت‌های بیمه و بیماران را تنظیم می‌کند.

نیوبرگر عنوان کرد که قوانین جدید، شفافیت و جزئیات بیشتری درباره امنیت سایبری به قانون قابل انتقال و پاسخگویی بیمه سلامت اضافه خواهد کرد.

کاخ سفید تصمیم به انجام این اقدام را در ماه‌های اخیر به دلیل افزایش سرقت داده‌های بهداشتی طی پنج سال گذشته گرفت.

این روند در سال ۲۰۲۴ به اوج خود رسید و دو مورد از بزرگ‌ترین حملات تاریخ ایالات متحده علیه مؤسسات بهداشتی با حملات باج‌افزاری به چنج هلثکر (Change Healthcare) و شبکه بیمارستانی اسنشن (Ascension) رخ داد.

نیوبرگر اشاره کرد که میانگین هزینه سرقت داده‌های بهداشتی در سال ۲۰۲۳، ۱۰.۱ میلیون دلار بود، اما سازمان‌هایی مانند اسنشن و چنج هلثکر با خسارات بالقوه فاجعه‌باری روبه‌رو هستند.

شرکت مادر چنج هلثکر، یعنی گروه یونایتد هلث (UnitedHealth Group)، تخمین زده که حادثه فوریه بیش از ۸۵۰ میلیون دلار هزینه داشته است.

او همچنین تاکید کرد:

از سال ۲۰۱۹، سرقت‌های بزرگ ناشی از هک و حملات باج‌افزاری به ترتیب ۸۹٪ و ۱۰۲٪ افزایش یافته‌اند. یکی از نگران‌کننده‌ترین مسائلی که در این شغل با آن مواجهیم، هک بیمارستان‌ها و داده‌های بهداشتی است. ما بیمارستان‌هایی را می‌بینیم که مجبور به فعالیت دستی می‌شوند. اطلاعات حساس سلامت آمریکایی‌ها، داده‌های حساس سلامت روان و حتی جزئیات حساس درمان‌ها در دارک وب افشا می‌شوند و فرصتی برای اخاذی از افراد فراهم می‌کنند.

یک سال پیش، وزارت بهداشت و خدمات انسانی (HHS) مقررات امنیت سایبری را برای مؤسسات بهداشتی که با برنامه‌های مدیکر (Medicare) و مدیکید (Medicaid) سر و کار دارند اضافه کرد و اقدامات فدرال را به رعایت استانداردهای پایه مرتبط کرد.

در همان زمان، وزارت بهداشت و خدمات انسانی ایده افزودن تدابیر امنیت سایبری به قانون قابل انتقال و پاسخگویی بیمه سلامت را مطرح کرد، که یکی از مفاهیم آن شامل افزایش جریمه‌های مدنی برای نقض این قانون بود.

اقدامات کاخ سفید با حمایت اعضای کنگره روبرو شده که از ادامه تعطیلی بیمارستان‌ها به دلیل حملات باج‌افزاری و پیامدهای ملی حمله به چنج هلثکر که به گفته شرکت، اطلاعات بیش از ۱۰۰ میلیون نفر را افشا کرده است، خسته شده‌اند.

وزارت بهداشت و خدمات انسانی در فوریه یک راهنمای ۱۲۲ صفحه‌ای منتشر کرد که در آن به نهادهای تحت پوشش قانون قابل انتقال و پاسخگویی بیمه سلامت توضیح داده شد که باید ارزیابی و مدیریت ریسک‌های امنیت سایبری را آغاز کنند.