กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ (HHS) โดยสำนักงานสิทธิพลเมือง (OCR) ได้เสนอข้อกำหนดใหม่ด้านความปลอดภัยทางไซเบอร์สำหรับองค์กรด้านสุขภาพ เพื่อเสริมสร้างการปกป้องข้อมูลของผู้ป่วยจากการโจมตีทางไซเบอร์ที่เพิ่มมากขึ้น
ข้อเสนอนี้มีเป้าหมายเพื่อปรับปรุงกฎหมายว่าด้วยการประกันสุขภาพแบบพกพาและความรับผิดชอบ (HIPAA) ของปี 1996 โดยการปรับปรุงมาตรฐานในกฎความปลอดภัยของ HIPAA ให้สามารถรับมือกับภัยคุกคามทางไซเบอร์ที่กำลังเพิ่มสูงขึ้นในอุตสาหกรรมสุขภาพ
ข้อกำหนดที่เสนอรวมถึงการดำเนินการตรวจสอบสินทรัพย์เทคโนโลยีและแผนที่เครือข่าย การระบุช่องโหว่ที่อาจก่อให้เกิดภัยคุกคามต่อระบบข้อมูลอิเล็กทรอนิกส์ และการจัดตั้งกระบวนการฟื้นฟูการสูญเสียข้อมูลและระบบที่เกี่ยวข้องภายใน 72 ชั่วโมง
นอกจากนี้ ข้อกำหนดยังระบุให้องค์กรต้องดำเนินการตรวจสอบความสอดคล้องอย่างน้อยปีละครั้ง การเข้ารหัสข้อมูล ePHI ทั้งขณะจัดเก็บและส่งข้อมูล การใช้งานระบบยืนยันตัวตนหลายขั้นตอน (MFA) การติดตั้งระบบป้องกันมัลแวร์ การลบซอฟต์แวร์ที่ไม่จำเป็นออกจากระบบ และการแยกเครือข่าย (Network Segmentation)
ข้อเสนอยังระบุให้องค์กรดำเนินการสแกนช่องโหว่อย่างน้อยทุก 6 เดือน การทดสอบเจาะระบบปีละครั้ง และการติดตั้งการควบคุมทางเทคนิคสำหรับการสำรองข้อมูลและการกู้คืน
ข้อเสนอการปรับปรุงดังกล่าวเกิดขึ้นในช่วงเวลาที่ภาคสุขภาพกลายเป็นเป้าหมายที่ล่อตาล่อใจสำหรับการโจมตีด้วยแรนซัมแวร์ ซึ่งไม่เพียงส่งผลกระทบทางการเงินแต่ยังคุกคามชีวิตผู้ป่วย โดยการทำให้ไม่สามารถเข้าถึงอุปกรณ์วินิจฉัยและระบบสำคัญที่เก็บข้อมูลทางการแพทย์ได้
ทั้งนี้ ประกาศข้อเสนอการออกกฎใหม่ (Notice of Proposed Rulemaking – NPRM) ถือเป็นส่วนหนึ่งของความพยายามในการเสริมสร้างความมั่นคงทางไซเบอร์ในโครงสร้างพื้นฐานสำคัญของประเทศ
อ่านเพิ่มเติมที่นี่ – THN
