Het Office for Civil Rights (OCR) van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft nieuwe cyberbeveiligingsvereisten voor gezondheidszorgorganisaties voorgesteld met als doel de gegevens van patiënten te beschermen tegen mogelijke cyberaanvallen.
Het voorstel, dat tot doel heeft de Health Insurance Portability and Accountability Act (HIPAA) uit 1996 te wijzigen, maakt deel uit van een breder initiatief om de cyberbeveiliging van kritieke infrastructuur te versterken, aldus de OCR.
De regel is bedoeld om de bescherming van elektronisch beschermde gezondheidsinformatie (ePHI) te versterken door de normen van de HIPAA Security Rule bij te werken om “de steeds toenemende cyberveiligheidsbedreigingen voor de gezondheidszorg beter aan te pakken.”
Daartoe vereist het voorstel onder meer dat organisaties een evaluatie uitvoeren van de inventaris van technologische activa en de netwerkkaart, potentiële kwetsbaarheden identificeren die een bedreiging kunnen vormen voor elektronische informatiesystemen, en procedures vaststellen om het verlies van bepaalde relevante elektronische informatiesystemen te herstellen. informatiesystemen en gegevens binnen 72 uur.
Andere opmerkelijke clausules zijn onder meer het uitvoeren van een nalevingsaudit ten minste elke twaalf maanden, het verplicht stellen van encryptie van ePHI in rust en onderweg, het afdwingen van het gebruik van multi-factor authenticatie, het inzetten van antimalwarebescherming en het verwijderen van externe software uit relevante elektronische informatiesystemen.
De Notice of Proposed Rulemaking (NPRM) vereist ook dat zorginstellingen netwerksegmentatie implementeren, technische controles opzetten voor back-up en herstel, en minstens elke zes maanden kwetsbaarheidsscans uitvoeren en minstens één keer per twaalf maanden penetratietests uitvoeren.
Deze ontwikkeling komt omdat de gezondheidszorgsector een lucratief doelwit blijft met ransomware-aanvallen, die niet alleen financiële risico’s met zich meebrengen, maar ook levens op het spel zetten door de toegang tot diagnostische apparatuur en kritieke systemen die medische dossiers van patiënten bevatten te verstoren.
“Zorgorganisaties verzamelen en bewaren uiterst gevoelige gegevens, die er waarschijnlijk toe bijdragen dat bedreigingsactoren zich met ransomware-aanvallen op hen richten”, merkte Microsoft in oktober 2024 op. “Een belangrijkere reden waarom deze faciliteiten gevaar lopen, is echter het potentieel voor enorme financiële uitbetalingen.”
“Zorginstellingen in de buurt van ziekenhuizen die getroffen zijn door ransomware worden ook getroffen omdat ze te maken krijgen met een golf van patiënten die zorg nodig hebben en niet in staat zijn hen op een dringende manier te ondersteunen.”
Volgens gegevens verzameld door cyberbeveiligingsbedrijf Sophos werd in 2024 67% van de gezondheidszorgorganisaties getroffen door ransomware, tegenover 34% in 2021. De hoofdoorzaak achter het merendeel van deze incidenten is terug te voeren op uitgebuite kwetsbaarheden, gecompromitteerde inloggegevens en kwaadaardige gegevens. e-mails.
Bovendien betaalde 53% van de gezondheidszorgorganisaties die hun gegevens versleuteld hadden, het losgeld om de toegang te herstellen. De gemiddelde losgeldbetaling bedroeg $ 1,5 miljoen.
De toename van het aantal ransomware-aanvallen tegen gezondheidszorginstellingen is ook aangevuld met langere hersteltijden: slechts 22% van de slachtoffers herstelt binnen een week of minder volledig van een aanval, een aanzienlijke daling ten opzichte van 54% in 2022.
“De zeer gevoelige aard van gezondheidszorginformatie en de behoefte aan toegankelijkheid zullen de gezondheidszorgsector altijd in de steek laten voor cybercriminelen”, aldus Sophos CTO John Shier. “Helaas hebben cybercriminelen geleerd dat maar weinig zorgorganisaties bereid zijn om op deze aanvallen te reageren, wat blijkt uit de steeds langere hersteltijden.”
Vorige maand karakteriseerde de Wereldgezondheidsorganisatie (WHO), een agentschap van de Verenigde Naties dat zich richt op de mondiale volksgezondheid, de ransomware-aanvallen op ziekenhuizen en gezondheidszorgsystemen als ‘kwesties van leven en dood’ en riep op tot internationale samenwerking om de cyberdreiging te bestrijden.