منظمات الرعاية الصحية قد تخضع قريبا ل قواعد جديدة للأمن السيبراني. تقترح وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) تحديثًا لقاعدة أمان HIPAA التي تتطلب من كيانات الرعاية الصحية المغطاة تعزيز موقف الأمن السيبراني الخاص بها.
ويأتي التغيير المقترح مع استمرار الخروقات في إحداث الفوضى في صناعة الرعاية الصحية. أفادت منظمات الرعاية الصحية أنه من عام 2009 إلى عام 2023 5,887 اختراقًا للبيانات تتضمن 500 سجل أو أكثر إلى مكتب الحقوق المدنية (OCR)، وفقًا لمجلة HIPAA. حدث ما مجموعه 667 انتهاكًا لبيانات الرعاية الصحية في عام 2024.
أشارت ميلاني فونتس راينر، مديرة التعرف الضوئي على الحروف، إلى هجوم برنامج الفدية على تغيير الرعاية الصحية كمثال على كيفية تزايد هذه الانتهاكات وتأثيرها على عدد أكبر من الأشخاص.
“تعالج هذه القاعدة المقترحة لترقية قاعدة أمان HIPAA تهديدات الأمن السيبراني الحالية والمستقبلية. سيتطلب الأمر تحديثات لضمانات الأمن السيبراني الحالية لتعكس التقدم في التكنولوجيا والأمن السيبراني، وتساعد على ضمان أن الأطباء والخطط الصحية وغيرهم من مقدمي الرعاية الصحية يفيون بالتزاماتهم لحماية أمن المعلومات الصحية المحمية للأفراد في جميع أنحاء البلاد. وقال في بيان صحفي HHS.
القاعدة المقترحة
لم يتم تحديث قاعدة أمان HIPAA، المنشورة في عام 2003، منذ عام 2013، وفقًا لوزارة الصحة والخدمات الإنسانية. ستحتاج الكيانات المشمولة التي تتعامل مع المعلومات الصحية المحمية الإلكترونية (ePHI) – بما في ذلك مقدمي الرعاية الصحية، والخطط الصحية، وغرف تبادل المعلومات الخاصة بالرعاية الصحية، وشركاء الأعمال – إلى الالتزام بالتحديثات في القاعدة المقترحة.
ال نسخة غير منشورة من القاعدة يوضح التعديلات المقترحة على القاعدة الأمنية. تم تصميم التغييرات المقترحة لتتوافق مع أفضل الممارسات في مجال الأمن السيبراني، مثل المصادقة متعددة العوامل، وتشفير ePHI، وتجزئة الشبكة، وفحص الثغرات الأمنية. وبموجب القاعدة المقترحة، سيُطلب من الكيانات المشمولة مراجعة سياسات وإجراءات الأمن السيبراني واختبارها وتحديثها بانتظام، وفقًا لـ HHS.
“تمثل هذه القاعدة تفويضًا واضحًا لمؤسسات الرعاية الصحية، وزيادة المساءلة، وتركيزًا أكبر على البروتوكولات الأمنية القوية،” شون هودجز، الرئيس التنفيذي لشركة فارما الوحي، وهي شبكة وطنية من الصيدليات المركبة، تقول لـ InformationWeek عبر البريد الإلكتروني. “سيتطلب الامتثال التزامًا مستمرًا بمراقبة الجودة، وعمليات تدقيق النظام المتكررة، وتدابير حماية البيانات المتقدمة.”
من الاقتراح إلى الممارسة
ومن المقرر أن تكون القاعدة المقترحة نشرت في السجل الاتحادي في 6 يناير. سيتمكن أصحاب المصلحة من مشاركة التعليقات خلال فترة التعليق العام التي تبلغ 60 يومًا. تأتي اللوائح الجديدة دائمًا مع احتمال التراجع.
“أحد الأشياء التي سيقاومها الناس هو أن تنفيذ الكثير من هذه التغييرات سيتطلب موارد وتكاليف وأشخاصًا”. بريان أرنولد، مدير الشؤون القانونية في منصة الأمن السيبراني المُدارة الصيادة“، يقول InformationWeek.
تعد القيود المفروضة على الموارد مصدر قلق شائع في صناعة الرعاية الصحية، وخاصة بالنسبة لمنظمات الرعاية الصحية الريفية ومقدمي الخدمات الأصغر.
وتقدر آن نيوبيرجر، نائبة مستشار الأمن القومي الأمريكي لشؤون التكنولوجيا السيبرانية والناشئة، أن القاعدة المقترحة ستفعل ذلك بتكلفة 9 مليارات دولار في عامه الأول ثم 6 مليارات دولار على مدى السنوات الأربع التالية، حسبما ذكرت رويترز.
يقول هودجز: “لقد واجهنا مخاوف مماثلة عندما تم تقديم قانون HIPAA لأول مرة منذ أكثر من عقدين من الزمن”. “في نهاية المطاف، توجد هذه اللوائح لخدمة غرض واحد: حماية المرضى ومعلوماتهم. ويجب على كل صاحب مصلحة في مجال الرعاية الصحية أن يدرك أن هذا ليس مجرد التزام تنظيمي – بل هو التزام أخلاقي.
وستنتقل فترة التعليق العام إلى إدارة ترامب القادمة، مما يثير تساؤلات حول مصير القاعدة المقترحة.
ويشير أرنولد إلى أن قضايا مثل الأمن السيبراني، وخصوصية البيانات، والأمن القومي تعتبر عادةً أكثر قبولاً من الحزبين أكثر من غيرها. ومن ناحية أخرى، أشارت إدارة ترامب إلى رغبتها في خفض اللوائح التنظيمية. ويبقى أن نرى ماذا يعني ذلك بالنسبة لوزارة الصحة والخدمات الإنسانية وهذه القاعدة.
“هناك احتمال ألا يكون هناك الكثير من طرح هذه القاعدة وربما تبنيها، لكنني أعتقد أنها تمثل فرصة حيث يمكن أن يكون هناك بعض التعديلات عليها [that] يقول أرنولد: ربما لم يكن من الممكن أن تحصل عليه عادةً إذا تم اقتراحه ثم تم تبنيه في ظل نفس الإدارة. “لا أتوقع أن تكون هذه هي الإصدارات النهائية للقواعد.”
البنية التحتية الحيوية تحت الحصار
ولا تزال البنية التحتية الحيوية هدفًا الجهات الفاعلة التهديدية، سواء الجماعات المدعومة من الدولة أو الجهات الإجرامية ذات الدوافع المالية. الرعاية الصحية هي مجرد واحدة من تلك القطاعات المستهدفة التي يمكن أن تخضع لقواعد الأمن السيبراني الجديدة.
“إن الجمع بين زيادة الوعي بالضعف العام للأمن السيبراني للبنية التحتية الحيوية وزيادة استهداف [critical infrastructure] من قبل مجرمي الإنترنت والجهات الفاعلة التي تهدد الدولة القومية مثل Volt Typhoon يقودني إلى الاعتقاد بأننا سنرى المزيد من تحديثات القواعد مثل هذا في العام المقبل،” كما يقول تري فورد، كبير مسؤولي أمن المعلومات في الأمريكتين فيحشرة، وهي شركة للأمن السيبراني تعتمد على التعهيد الجماعي، في مقابلة عبر البريد الإلكتروني.
في حين أن النسخة النهائية من التغييرات المقترحة على HIPAA والجدول الزمني لاعتمادها غير مؤكدين، فإن التهديدات التي تهدف القاعدة الجديدة إلى معالجتها تظل حقيقة في مجال الرعاية الصحية.
“بشكل عام، يجب التعامل مع الأمن السيبراني باعتباره حجر الزاوية في رعاية المرضى. يقول هودجز: “إن حماية المعلومات الصحية ليست مجرد مهمة تتعلق بتكنولوجيا المعلومات – إنها مسؤولية الجميع في مجال الرعاية الصحية”.
