Eine Reihe neuer Anforderungen, die vom Büro für Bürgerrechte des US-Gesundheitsministeriums (HHS) vorgeschlagen wurden, könnten Gesundheitsorganisationen auf den neuesten Stand moderner Cybersicherheitspraktiken bringen. Der Vorschlag, der am Freitag im Federal Register veröffentlicht wurde, beinhaltet Anforderungen für Multi-Faktor-Authentifizierung, Datenverschlüsselung und routinemäßige Scans auf Schwachstellen und Sicherheitsverletzungen. Darüber hinaus würde der Einsatz von Anti-Malware-Schutz für Systeme, die mit sensiblen Informationen arbeiten, ebenso verpflichtend werden wie die Segmentierung von Netzwerken, die Implementierung separater Kontrollen für Backup und Wiederherstellung sowie jährliche Compliance-Audits.
Das HHS hat auch ein Informationsblatt veröffentlicht, das den Vorschlag zur Aktualisierung der Sicherheitsregeln des Health Insurance Portability and Accountability Act von 1996 (HIPAA) enthält. Es wird erwartet, dass in Kürze eine 60-tägige Frist für öffentliche Kommentare eröffnet wird. Auf einer Pressekonferenz sagte Anne Neuberger, stellvertretende nationale Sicherheitsberaterin für Cyber- und Zukunftstechnologien, dass die Umsetzung des Plans 9 Milliarden US-Dollar im ersten Jahr und 6 Milliarden US-Dollar in den folgenden vier Jahren kosten würde, berichtet Reuters. Der Vorschlag kommt vor dem Hintergrund, dass es in den letzten Jahren zu einem deutlichen Anstieg groß angelegter Cyberkriminalität gekommen ist. Allein in diesem Jahr wurde der Gesundheitssektor von mehreren großen Cyberangriffen heimgesucht, darunter Hackerangriffe auf die Systeme von Ascension und UnitedHealth, die zu Störungen in Krankenhäusern, Arztpraxen und Apotheken führten.
„Zwischen 2018 und 2023 stiegen die Berichte über große Datenschutzverletzungen um 102 Prozent und die Zahl der von diesen Verletzungen betroffenen Personen um 1002 Prozent, was vor allem auf die Zunahme von Hacker- und Ransomware-Angriffen zurückzuführen ist“, so das Office for Civil Rights. “Im Jahr 2023 waren mehr als 167 Millionen Menschen von großen Datenschutzverletzungen betroffen – ein neuer Rekord.“
