Aturan Keamanan Siber HIPAA yang Baru Tidak Dapat Dihindarkan

Perubahan menyeluruh pada keamanan siber layanan kesehatan akan terjadi pada tahun 2025, dan para ahli memperingatkan bahwa beban kepatuhan bagi organisasi akan sangat besar.

Sejak tahun 2005, organisasi layanan kesehatan telah tunduk pada Standar Keamanan untuk Perlindungan Informasi Kesehatan yang Dilindungi Elektronik (“Aturan Keamanan”) berdasarkan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA), serangkaian standar nasional yang dirancang untuk melindungi kesehatan yang dilindungi secara elektronik. informasi (ePHI). Namun meskipun ancaman terhadap ePHI meningkat dari tahun ke tahun, Peraturan Keamanan tetap tidak berubah, terakhir diperbarui pada bulan Januari 2013.

Pekan lalu, Departemen Kesehatan dan Layanan Kemanusiaan (HHS), melalui Kantor Hak Sipil (OCR), mengusulkan a pembaruan Aturan Keamanan yang telah lama ditunggu-tunggu. Draf kerja setebal 400 halaman ini sama seriusnya dengan panjangnya, dengan persyaratan baru yang luas bagi penyedia, perencana, lembaga kliring, dan rekan bisnis mereka. Meskipun semua persyaratannya merupakan praktik terbaik standar, para ahli menunjukkan bahwa pembaruan baru ini lebih signifikan dan kurang fleksibel dibandingkan versi HIPAA sebelumnya.

Otentikasi Multifaktor, Enkripsi & Risiko

Sejak awal, HIPAA selalu menjadi regulasi terbaik, namun belum memadai, yang mengatur keamanan siber untuk industri perawatan kesehatan.

“[There’s] sejarah fokus berada di tempat yang salah karena cara HIPAA ditetapkan pada pertengahan tahun 1990an,” kata Errol Weiss, kepala petugas keamanan informasi (CISO) dari Pusat Pembagian dan Analisis Informasi Kesehatan (Health-ISAC). “Pada saat itu, ada dorongan besar untuk mentransfer catatan medis dan kesehatan ke media elektronik. Dan dengan munculnya peraturan HIPAA, yang terpenting adalah melindungi privasi pasien namun belum tentu mengamankan catatan tersebut.”

Fokus HIPAA pada privasi membatasi kemampuannya untuk mengatasi ancaman keamanan siber yang lebih beragam pada tahun 2010an, khususnya ransomware. Sementara itu, alih-alih menggunakannya sebagai dasar untuk mengembangkan postur keamanan yang kuat, organisasi cenderung memperlakukan HIPAA lebih sebagai serangkaian hal yang harus diperiksa. “Itu berakhir mengarahkan anggaran menuju kepatuhan dan belum tentu keamanan. Dan dalam lima atau enam tahun terakhir, kita telah melihat apa yang terjadi di lingkungan yang tidak diamankan dengan baik, tidak terikat dengan baik, tidak dicadangkan dengan baik, ketika mereka terkena ransomware,” kata Weiss.

HHS menyoroti hal yang sama dalam pernyataan yang dirilis bersamaan dengan rancangan Aturan Keamanan. Dari tahun 2018 hingga 2023, dilaporkan, pelanggaran layanan kesehatan skala besar meningkat 102%dan individu yang terkena dampak meningkat 1,002%, terutama karena ransomware. Tahun 2023 mencatat rekor baru, dengan lebih dari 167 juta orang terkena dampaknya.

Aturan Keamanan yang baru diusulkan bertujuan untuk memperbaiki keadaan, dengan daftar persyaratan baru yang menyentuh manajemen patch, kontrol akses, otentikasi multifaktor (MFA), enkripsipencadangan dan pemulihan, pelaporan insiden, penilaian risiko, audit kepatuhan, dan banyak lagi.

Seperti yang diakui Lawrence Pingree, wakil presiden di Dispersive, “Orang-orang memiliki hubungan cinta-benci dengan peraturan. Namun ada banyak manfaat yang didapat dari HIPAA yang menjadi lebih preskriptif. Kapan pun Anda lebih spesifik tentang kontrol keamanan yang mereka harus terapkan, semakin baik keadaanmu.”

HIPAA Menumbuhkan Gigi

Pingree mengenang bagaimana “HIPAA, sejak lama, memiliki semacam lensa sudut lebar. 'Kamu harus melindungi data Anda.' Dan sejujurnya, aturan-aturan yang samar-samar itu berarti Anda mendapatkan banyak penafsiran yang berbeda-beda.”

Faktanya, secara historis, hal ini merupakan kejatuhan besar HIPAA.

Hampir mustahil untuk menerapkan aturan keamanan siber yang efektif secara universal pada seluruh industri. Organisasi yang lebih kecil dan lebih besar memiliki kebutuhan dan kemampuan — serta anggaran yang berbeda. Lanskap ancaman terus berubah, sehingga peraturan yang dirancang saat ini mungkin akan menjadi usang di kemudian hari. Untuk memperhitungkan keniscayaan ini, Aturan Keamanan HIPAA yang asli menyertakan ketentuannya 164.306, yang membedakan antara aturan “yang dapat dialamatkan” dan “wajib”. Untuk aturan yang dapat diatasi, organisasi dapat “menilai apakah setiap spesifikasi penerapan merupakan upaya perlindungan yang masuk akal dan sesuai di lingkungannya, ketika dianalisis dengan mengacu pada kemungkinan kontribusinya dalam melindungi informasi kesehatan elektronik yang dilindungi,” menurut HIPAA. Suatu organisasi mungkin memutuskan bahwa suatu aturan tidak sesuai atau tidak masuk akal karena infrastrukturnya yang spesifik, ukuran atau kemampuannya, biaya penerapan tindakan keamanan tertentu, dan lain-lain.

Joseph J. Lazzarotti, kepala sekolah di Jackson Lewis PC, mengatakan ketentuan 164.306 memungkinkan fleksibilitas yang selalu diminta oleh bisnis: “Bahwa kami tidak mengharapkan hal yang sama dari setiap praktisi tunggal di Main Street di Midwest versus rumah sakit besar di Tentu saja akan ada ekspektasi yang berbeda terhadap kepatuhan.”

Namun beberapa organisasi layanan kesehatan mengeksploitasi fleksibilitas hukum ini untuk menghindari keharusan berinvestasi pada pertahanan keamanan yang lebih besar. “Kami prihatin bahwa beberapa entitas yang diatur bertindak seolah-olah kepatuhan terhadap spesifikasi implementasi yang dapat diatasi adalah opsional,” tulis HHS dalam proposal terbarunya. “Interpretasi tersebut tidak benar dan melemahkan postur keamanan siber dari entitas yang diatur.”

Aturan Keamanan yang baru akan menghilangkan perbedaan yang wajib diatasi, memaksa semua organisasi yang diatur untuk mematuhi aturan yang sama, apa pun situasinya.

Biaya Baru untuk Kesehatan Data Dengan HIPAA

Peraturan Keamanan yang lebih baru dan lebih ketat ini akan memaksa rumah sakit-rumah sakit besar di Pantai Timur dan praktisi tunggal di Midwest untuk menerapkan banyak langkah keamanan siber baru, dan hal ini tidak akan murah. Menurut konferensi pers pada tanggal 27 Desember yang dihadiri oleh Anne Neuberger, wakil penasihat keamanan nasional untuk dunia maya dan teknologi baru, Gedung Putih memperkirakan bahwa biaya implementasi akan sangat besar. $9 miliar pada tahun pertama setelah perubahan peraturan, maka tambahan $6 miliar pada tahun kedua hingga lima.

Kekhawatiran Weiss dari Health-ISAC tidak realistis bagi banyak organisasi layanan kesehatan. “Jika Anda melihat organisasi-organisasi ini, banyak di antara mereka yang beroperasi dengan margin keuntungan yang tipis,” katanya. “Banyak dari mereka yang berada di zona merah, dan tidak mampu membeli barang-barang seperti ini.”

“Bahkan jika mereka sudah mengikuti semua kendali NIST,” Pingree dari Dispersive memperkirakan, penerapan peraturan keamanan HIPAA yang baru “dapat memakan biaya hingga $100.000 untuk kantor dokter kecil, atau bisa mencapai jutaan jika Anda seorang dokter besar. kelompok.”

Salah satu cara organisasi layanan kesehatan yang luas dapat menavigasi semua aturan baru ini dan biaya terkait adalah dengan menggunakan kepala petugas keamanan informasi virtual (vCISO) yang dialihdayakan, menurut Weiss. Karena “ini bukan hanya tentang membeli teknologinya. Ini juga tentang merekrut dan mempertahankan keahlian keamanan siber yang perlu Anda jalankan,” katanya.

“Organisasi-organisasi ini tidak tahu harus mulai dari mana,” lanjutnya. “Pasar keamanan siber sangat membingungkan. Ada banyak pemain. Ada banyak solusi. Jadi, jika Anda memiliki $100 untuk dibelanjakan pada keamanan siber, di mana Anda membelanjakannya? Mereka memerlukan bantuan untuk dapat mengetahui semua hal tersebut.” Dan menurut saya, sesuatu seperti CISO virtual dapat membantu menerapkan strategi, dan kemudian hadir secara virtual — untuk melapor, menjadi sumber daya bagi organisasi tersebut ketika mereka memiliki pertanyaan dan membutuhkan bantuan model untuk rumah sakit kecil di pedesaan yang belum tentu bisa membenarkan atau menyewa CISO penuh waktu.”