Em março de 2023, o governo dos EUA lançou a Estratégia Nacional de Segurança Cibernética. Estabelecida pelo governo dos EUA, essa estratégia reimagina uma abordagem abrangente para um ecossistema digital seguro e protegido para todos, transferindo a responsabilidade para as organizações mais bem equipadas para lidar com os riscos, alinhando estrategicamente os incentivos para proteger contra ameaças urgentes e alinhando-se à visão de longo prazo para o futuro.
Entre os setores mais afetados pelas ameaças à segurança cibernética, o setor de saúde continua sendo cada vez mais visado. De acordo com o HIPAA Journal, 328 prestadores de serviços de saúde sofreram uma violação de dados este ano. Da mesma forma, de acordo com o relatório 2023 Global Healthcare Survey do siteClaroty, 78% dos entrevistados sofreram pelo menos um incidente de segurança cibernética no último ano e 60% das organizações afetadas por incidentes relataram um impacto moderado a substancial na prestação de atendimento ao paciente. Como resultado, o setor de saúde solicitou - e, em alguns casos, exigiu - regulamentações mais rígidas e orientações do setor sobre as práticas recomendadas de segurança cibernética devido à variedade e ao impacto dos incidentes cibernéticos. Na primavera de 2023, a Seção 405(d): Aligning Health Care Industry Security Approaches (Alinhamento das abordagens de segurança do setor de saúde ) foi atualizada para incluir um conjunto mais profundo de considerações. Especificamente, a Prática de Segurança Cibernética nº 9: Dispositivos Médicos Conectados à Rede sugere orientação sobre as práticas recomendadas de segurança fundamentais, como gerenciamento de ativos, proteção de endpoints, gerenciamento de identidade e acesso, gerenciamento de rede, gerenciamento de vulnerabilidades e muito mais.
O conceito mais recente divulgado pelo HHS dá continuidade ao impulso das atualizações da 405(d) e, ao mesmo tempo, eleva os padrões e as oportunidades do setor de segurança cibernética na área da saúde para se alinhar ainda mais à Estratégia Nacional de Segurança Cibernética. O documento conceitual, intitulado " Healthcare Sector Cybersecurity, Introduction to the Strategy of the U.S. Department of Health and Human Services" (Segurança cibernética do setor de saúde, introdução à estratégia do Departamento de Saúde e Serviços Humanos dos EUA), detalha quatro pilares para as organizações de saúde agirem, incluindo a publicação de novas metas voluntárias de desempenho de segurança cibernética específicas do setor de saúde, novo suporte e incentivos para melhorar os hospitais, um foco maior na aplicação e responsabilidade e amadurecimento em um balcão único para a segurança cibernética do setor de saúde.
Devido à natureza conceitual desse lançamento, haverá mais detalhes nos próximos meses. Os principais destaques a serem observados pelo HHS incluem:
Novas metas definidas para o setor de segurança cibernética na área de saúde: O HHS estabelecerá e publicará novas metas voluntárias para o setor. Essas metas de desempenho de segurança cibernética específicas do setor de saúde pública(HPH CPGs) definirão as metas essenciais mínimas exigidas para as atividades básicas de segurança cibernética e, ao mesmo tempo, incentivarão metas mais ambiciosas para estimular uma maior sofisticação do desempenho avançado de segurança cibernética.
Novos apoios e incentivos: O HHS trabalhará com o Congresso para administrar o apoio financeiro para ampliar as práticas recomendadas de segurança cibernética. Isso incluirá um programa de investimento para dar suporte a provedores com alta necessidade e poucos recursos para implementar CPGs essenciais e um programa de incentivos para que os hospitais impulsionem a implementação de CPGs aprimorados em todos os sistemas de saúde.
Maior aplicação e responsabilidade: O lançamento de novos CPGs informará a criação de padrões de segurança cibernética novos e aplicáveis. Na primavera de 2024, a regra de segurança da HIPAA exigirá novos requisitos de segurança cibernética e novos requisitos de segurança cibernética serão propostos por meio do Medicare e do Medicaid. Essas são duas ações de curto prazo em que os CPGs recém-definidos podem entrar em ação diretamente.
Expansão do HHS para a maturidade do programa: O HHS continuará a se esforçar para ser um recurso essencial para a maturidade e o suporte da segurança cibernética por meio de novas abordagens, como parcerias mais fortes com o governo, recursos adicionais, assistência técnica e muito mais.
Como o site Claroty está preparado para ajudar?
À medida que essas novas metas, suporte e padrões de responsabilidade na segurança cibernética do setor de saúde são definidos pelo HHS, o Claroty está preparado para dar suporte. Nossa solução específica para o setor de saúde, a Medigate Platform, oferece uma solução altamente flexível e personalizável para acomodar uma ampla gama de práticas recomendadas de segurança para dar suporte a todos os níveis de maturidade do programa de segurança cibernética. Seja implementando a visibilidade inicial do dispositivo e o gerenciamento de riscos ou abordagens mais sofisticadas, como segmentação de rede e detecção de ameaças em todos os sistemas ciberfísicos, como IoT, IoMT e BMS. Nossa plataforma modular permite que as organizações implementem processos e, ao mesmo tempo, definam e acompanhem metas para atender aos requisitos de segurança cibernética.
Para saber mais sobre como o Claroty pode apoiar sua jornada de segurança na área de saúde, consulte a Visão geral da solução da plataforma Medigate ou simplesmente solicite uma demonstração.
