Kancelarija za građanska prava (OCR) Ministarstva zdravlja i ljudskih službi Sjedinjenih Država (HHS) predložila je nove zahtjeve cyber sigurnosti za zdravstvene organizacije s ciljem zaštite podataka pacijenata od potencijalnih sajber napada.
Prijedlog, kojim se želi izmijeniti Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA) iz 1996. godine, dio je šire inicijative za jačanje cyber sigurnosti kritične infrastrukture, saopćio je OCR.
Pravilo je osmišljeno da ojača zaštitu elektronskih zaštićenih zdravstvenih informacija (ePHI) ažuriranjem standarda HIPAA pravila sigurnosti kako bi se „bolje odgovorilo na sve veće prijetnje cyber sigurnosti za zdravstveni sektor“.
U tu svrhu, prijedlog, između ostalog, zahtijeva od organizacija da izvrše pregled inventara tehnološke imovine i mape mreže, identifikuju potencijalne ranjivosti koje bi mogle predstavljati prijetnju elektronskim informacionim sistemima i uspostave procedure za vraćanje gubitka određenih relevantnih elektronskih informacioni sistemi i podaci u roku od 72 sata.
Druge značajne klauzule uključuju provođenje revizije usklađenosti najmanje jednom svakih 12 mjeseci, obavezu šifriranja ePHI-ja u mirovanju i u prijenosu, nametanje upotrebe višefaktorske autentifikacije, implementaciju zaštite od malvera i uklanjanje stranog softvera iz relevantnih elektronskih informacionih sistema.
Obaveštenje o predloženom donošenju pravila (NPRM) takođe zahteva da zdravstveni subjekti implementiraju segmentaciju mreže, postave tehničke kontrole za pravljenje rezervnih kopija i oporavka, kao i da izvrše skeniranje ranjivosti najmanje svakih šest meseci i testiranje penetracije najmanje jednom u 12 meseci.
Razvoj dolazi jer zdravstveni sektor i dalje predstavlja unosnu metu sa napadima ransomware-a, ne samo što predstavlja finansijski rizik već i stavlja živote na kocku ometajući pristup dijagnostičkoj opremi i kritičnim sistemima koji sadrže medicinske kartone pacijenata.
“Zdravstvene organizacije prikupljaju i pohranjuju izuzetno osjetljive podatke, što vjerovatno doprinosi da ih hakeri ciljaju u napadima ransomware-a,” primijetio je Microsoft u oktobru 2024. “Međutim, značajniji razlog zašto su ove ustanove u opasnosti je potencijal za ogromne finansijske isplate.”
“Zdravstvene ustanove koje se nalaze u blizini bolnica koje su pogođene ransomwareom su takođe pogođene jer doživljavaju porast pacijenata kojima je potrebna njega i nisu u mogućnosti da ih podrže na hitan način.”
Prema podacima koje je prikupila kompanija za cyber sigurnost Sophos, 67% zdravstvenih organizacija bilo je pogođeno ransomwareom 2024. godine, u odnosu na 34% u 2021. Osnovni uzrok većine ovih incidenata se vodi do iskorištavanja ranjivosti, kompromitovanih krendicijala i malicioznih podataka emails.
Osim toga, 53% zdravstvenih organizacija koje su imale šifrirane podatke platilo je otkup za vraćanje pristupa. Srednja isplata otkupnine bila je 1,5 miliona dolara.
Povećanje stope ransomware napada na zdravstvene subjekte takođe je dopunjeno dužim vremenom oporavka, sa samo 22% žrtava koje se potpuno oporavilo od napada za nedelju dana ili manje, što je značajan pad sa 54% u 2022.
“Izuzetno osjetljiva priroda zdravstvenih informacija i potreba za dostupnošću uvijek će baciti oko na industriju zdravstvene zaštite od cyber kriminalaca,” izjavio je John Shier CTO Sophos . “Nažalost, cyber kriminalci su saznali da je nekoliko zdravstvenih organizacija spremno odgovoriti na ove napade, što se pokazuje u sve dužim vremenima oporavka.”
Prošlog mjeseca, Svjetska zdravstvena organizacija (WHO), agencija Ujedinjenih naroda fokusirana na globalno javno zdravlje, okarakterizirala je napade ransomware-a na bolnice i zdravstvene sisteme kao “pitanja života i smrti” i pozvala na međunarodnu saradnju u borbi protiv cyber prijetnje.
Izvor:The Hacker News
