Fortalecimiento de la ciberseguridad en el sector salud
Tabla de contenido:
El Grupo UnitedHealth hack mamut El año pasado no solo fomentó el escrutinio del Congreso; también impulsó una propuesta de actualización de las normas federales de ciberseguridad sanitaria. Con la consulta pública ya cerrada, todas las miradas están puestas en el poder ejecutivo para ver qué hace a continuación.
El viernes 7 de marzo de 2025 finalizó el plazo para la recepción de comentarios públicos sobre una importante propuesta de mejora de la normativa de seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA). Esta medida impondría requisitos de ciberseguridad más estrictos a la amplia gama de organizaciones que ya están cubiertas por la HIPAA.
Una ley anticuada en un sector en rápida modernización
Cuando se aprobó la HIPAA, Palm Pilot era la tecnología de vanguardia en dispositivos portátiles, Hotmail era nuevo, Google aún no se había lanzado y solo 36 millones de personas usaban internet. La ley no se ha actualizado sustancialmente desde 2013.
Mientras tanto, la forma en que el sistema sanitario procesa la información ha cambiado sustancialmente. La Ley HITECH y la Ley de Curas del Siglo XXI impulsaron la inversión en tecnología y el intercambio de datos, marcando el comienzo de una era de rápida modernización.
El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) consideró que las normas debían actualizarse para reflejar los nuevos tiempos. En diciembre,... propuso la nueva norma de ciberseguridad Como una forma de reforzar el sector sanitario ante lo que percibe como un creciente aluvión de ciberataques. Es una reacción directa al aumento de ciberataques contra el sector.
Una ola creciente de violaciones a la atención médica
El HHS mantiene sus propias cifras de filtraciones de datos a través de su Oficina de Derechos Civiles (OCR). Encontró que los incidentes de filtraciones importantes se duplicaron entre 2018 y 2023, mientras que el número de personas afectadas se multiplicó por diez, lo que indica que las filtraciones individuales están adquiriendo mayor impacto. Esto no sorprende dado el crecimiento del ransomware, que el HHS denuncia específicamente. También mencionó la filtración de datos en Change Healthcare, subsidiaria de UnitedHealth Group, que, con 190 millones de víctimas, afectó a más de la mitad de la población estadounidense. Esto seguramente incrementará considerablemente las cifras de filtraciones de datos en 2024, advirtió el HHS.
Otras cifras de la industria lo confirman. Informe de ciberseguridad en el sector sanitario de Ponemon 2024 Afirmaron que el 92 % de las organizaciones sanitarias encuestadas habían sufrido al menos un ciberataque durante el año anterior. En promedio, el ataque más costoso que sufrió cada víctima les costó 4.7 millones de dólares, y el 79 % informó que los ataques habían interrumpido las operaciones de los pacientes.
Presión del Congreso
Los legisladores también han pedido una regulación más estricta de la ciberseguridad en la atención médica. Tres meses antes, el presidente del Comité de Finanzas del Senado, Ron Wyden, y el senador Mark Warner, ambos demócratas, Introducido La Ley de Seguridad y Responsabilidad de la Infraestructura Sanitaria (HISA), que exigía al Departamento de Salud y Servicios Humanos (HHS) implementar normas de ciberseguridad más estrictas y eliminar los límites de las sanciones civiles para las entidades cubiertas que incumplieran la norma. Tras el ataque informático, Wyden criticó duramente a UnitedHealth Group y exigió una investigación federal sobre las prácticas de ciberseguridad de la compañía.
Nuevas medidas estrictas
La norma de actualización propuesta por el HHS elimina la idea de medidas de seguridad "abordables" que no son obligatorias, y en su lugar establece que todas las medidas descritas son obligatorias. Añade plazos específicos para muchos de los requisitos existentes. Todas las políticas de seguridad deben documentarse por escrito.
Análisis de riesgos: Las organizaciones deben incluir evaluaciones escritas de un inventario de activos y un mapa de red revisados anualmente que registren la información médica personal electrónica (ePHI) en sus sistemas. Deben identificar todas las amenazas a esta información y sistemas, clasificando sus niveles de riesgo.
Respuesta y divulgación de incidentes: La norma propuesta también exige medidas de respuesta más estrictas para la industria, incluyendo planes escritos para reportar incidentes de seguridad y restaurar el acceso a los sistemas y datos en un plazo de 72 horas, priorizados según su criticidad. Los socios comerciales también deben informar a las organizaciones internas si activan sus planes de contingencia.
Auditorías de cumplimiento: Las organizaciones de atención médica deben someterse a una auditoría anual de cumplimiento de la norma de seguridad y obtener una verificación por escrito de un experto que acredite que todos sus socios comerciales cumplen con la norma. Asimismo, los socios comerciales deben obtener la misma certificación de sus contratistas.
Controles técnicos: Toda la ePHI debe estar cifrada en reposo y en tránsito, y tanto la autenticación multifactor como la protección antimalware serán obligatorias. Se debe eliminar el software ajeno de los sistemas relevantes y deshabilitar los puertos de red correspondientes. Las redes deben estar segmentadas. Debe haber controles independientes y dedicados para las copias de seguridad y la recuperación, y los sistemas deben analizarse para detectar vulnerabilidades cada seis meses y someterse a una prueba de penetración anual.
Patrocinadores del plan grupal: La actualización de la norma propuesta también afecta a organizaciones como empleadores que contratan planes de salud grupales. Sus documentos de plan deben incluir requisitos para cumplir con la norma de seguridad propuesta y deben garantizar que el agente de seguros médicos que toma su información médica protegida electrónica (ePHI) haga lo mismo. Si deben activar su plan de respuesta a incidentes, deben notificar a sus afiliados dentro de las 24 horas.
Lo que significa para las empresas de atención médica
Las nuevas medidas obligatorias contrastan con un enfoque mayoritariamente voluntario para la implementación de estándares de ciberseguridad significativos. En enero de 2024, el Departamento de Salud y Servicios Humanos (HHS) publicó su programa 405(d), un conjunto de enfoques de seguridad voluntarios para las organizaciones del sector sanitario. Sin embargo, estos formaban parte de un plan más amplio para imponer una mayor responsabilidad en materia de ciberseguridad al sector.
Al igual que la HIPAA, la actualización propuesta se aplica a los proveedores de atención médica de nivel inferior, como hospitales, así como a las organizaciones de nivel superior, como planes de salud, aseguradoras y centros de intercambio de información sanitaria que canalizan la información médica protegida electrónica (ePHI) entre todas estas organizaciones. Los socios comerciales (es decir, las empresas que gestionan la PHI de las entidades cubiertas) también están incluidos en el alcance.
Los lectores que opinan que los cambios simplemente reflejan una higiene cibernética básica no están solos. La actualización propuesta representa una mejora sustancial de las normas vigentes de la HIPAA, según expertos legales, pero también cubre un vacío regulatorio al alinear el sector con las recomendaciones de ciberseguridad actualmente aceptadas, como el Marco de Ciberseguridad del NIST.
“Para las organizaciones que ya han adoptado estas 'mejores prácticas', muchos de los nuevos requisitos de la Norma Propuesta les resultarán familiares y, en muchos casos, ya se habrán implementado”. argumentar Brian G. Cesaratto, Lisa Pierce Reisz, Alaap B. Shah de Epstein Becker & Green en la National Law Review. En ese caso, la mayor parte del trabajo probablemente consistirá en un frenético papeleo y el llenado de formularios para cumplir con los requisitos administrativos.
Sin embargo, las organizaciones cubiertas que han sido negligentes con sus medidas de ciberseguridad tendrán un gran trabajo por delante. HISA, que aún se encuentra en la fase de comité, incluyó algunas mejoras importantes. En particular, destinó 800 millones de dólares estadounidenses en fondos para que los hospitales rurales y urbanos de la red de seguridad lograran el cumplimiento, y 500 millones de dólares adicionales después de ese período para todos los demás hospitales.
La actualización de la normativa del HHS no parece ofrecer dicha financiación. Esto podría ser un punto de fricción.
Dado que el estándar de salvaguardas 'razonables y apropiadas' de la Norma de Seguridad debe tener en cuenta el costo, el tamaño, la complejidad y las capacidades, las propuestas más prescriptivas en el NPRM [aviso de propuesta de elaboración de normas] y la falta de requisitos abordables representan una pesada carga, especialmente para los proveedores más pequeños. escribir Amy S. Leopard, socia de Bradley Arant Boult Cummings LLP y su asociado Adriante Carter.
¿Qué sucede después?
Tras la finalización del período de consulta pública, es probable que el HHS recopile y responda a los comentarios. Normalmente, la norma se modificaría para incorporar algunos de esos comentarios, y la industria estaría obligada a cumplirla 180 días después de que el Departamento la finalizara.
Sin embargo, es incierto si el NPRM se implementará en su forma actual, o en cualquier otra. El reciente cambio administrativo en EE. UU. ha anunciado cambios de política sin precedentes a una velocidad asombrosa. Con Robert F. Kennedy Jr. al mando del Departamento, y con el actual presidente manteniendo una estrategia desregulatoria de larga data y aparentemente desfinanciando al máximo las operaciones del gobierno federal, el panorama político para el resto de 2025 es una incógnita.
