Una serie di nuovi requisiti proposti dall'Ufficio per i diritti civili del Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti potrebbe portare le organizzazioni sanitarie al passo con le moderne pratiche di sicurezza informatica. La proposta, pubblicata venerdì nel Federal Register, include requisiti per l'autenticazione a più fattori, la crittografia dei dati e le scansioni di routine per le vulnerabilità e le violazioni della sicurezza. Inoltre, l'uso di protezioni anti-malware per i sistemi che gestiscono informazioni sensibili diventerebbe obbligatorio, così come la segmentazione delle reti, l'implementazione di controlli separati per il backup e il ripristino e le verifiche annuali di conformità .
L'HHS ha inoltre pubblicato una scheda informativa che illustra la proposta di aggiornamento della norma sulla sicurezza dell'Health Insurance Portability and Accountability Act del 1996 (HIPAA). È prevista l'apertura di un periodo di 60 giorni per i commenti pubblici. Nel corso di una conferenza stampa, Anne Neuberger, vice consigliere per la sicurezza nazionale per le tecnologie informatiche ed emergenti, ha dichiarato che l'attuazione del piano costerà 9 miliardi di dollari nel primo anno e 6 miliardi di dollari nei quattro anni successivi, come riporta Reuters. La proposta si inserisce nel contesto di un aumento significativo della criminalità informatica su larga scala negli ultimi anni. Solo quest'anno, il settore sanitario è stato colpito da diversi attacchi informatici di grande portata, tra cui quelli ai sistemi Ascension e UnitedHealth che hanno mandato in tilt ospedali, studi medici e farmacie.
"Tra il 2018 e il 2023, le segnalazioni di gravi violazioni di dati sono aumentate del 102% e il numero di persone colpite da queste violazioni è aumentato del 1002%, in gran parte a causa di un aumento degli attacchi di hacking e ransomware", ha dichiarato l'Ufficio per i diritti civili. "Nel 2023, più di 167 milioni di persone sono state colpite da gravi violazioni di dati - un nuovo record".