Um conjunto de novos requisitos propostos pelo Gabinete de Direitos Civis do Departamento de Saúde e Serviços Humanos (HHS) dos EUA poderia equiparar as organizações de saúde às práticas modernas de segurança cibernética. O propostapublicado no Federal Register na sexta-feira, inclui requisitos para autenticação multifatorial, criptografia de dados e verificações de rotina em busca de vulnerabilidades e violações. Também tornaria obrigatório o uso de proteção antimalware para sistemas que lidam com informações confidenciais, juntamente com a segmentação de rede, a implementação de controles separados para backup e recuperação de dados e auditorias anuais para verificar a conformidade.
HHS também compartilhou um ficha informativa delineando a proposta, que atualizaria a regra de segurança da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Espera-se que um período de comentários públicos de 60 dias seja aberto em breve. Em uma coletiva de imprensa, a vice-assessora de segurança nacional dos EUA para tecnologias cibernéticas e emergentes, Anne Neuberger, disse que o plano custaria US$ 9 bilhões no primeiro ano de execução e US$ 6 bilhões nos quatro anos subsequentes. Reuters relatórios. A proposta surge à luz de um aumento acentuado de violações em grande escala nos últimos anos. Apenas este ano, o setor da saúde foi atingido por vários ataques cibernéticos importantes, incluindo invasões aos sistemas Ascension e UnitedHealth que causaram perturbações em hospitais, consultórios médicos e farmácias.
“De 2018 a 2023, os relatos de grandes violações aumentaram 102 por cento, e o número de indivíduos afetados por tais violações aumentou 1.002 por cento, principalmente devido ao aumento nos ataques de hackers e ransomware”, de acordo com o Escritório de Direitos Civis. “Em 2023, mais de 167 milhões de indivíduos foram afetados por grandes violações – um novo recorde.”