Les dirigeants du HHS en matière de cybersécurité veulent que le secteur de la santé soit responsable, mais promettent leur soutien

kermitwrenn4780septembre 8, 2023Dernière mise à jour: septembre 8, 2023

BOSTON – Lors du forum HIMSS Healthcare Cybersecurity jeudi, Erik Decker, responsable de la sécurité de l’information chez Intermountain Health, a dirigé une discussion avec les dirigeants de la cybersécurité du ministère américain de la Santé et des Services sociaux pour discuter de la manière dont l’agence renforce la responsabilité et les compétences en matière de cybersécurité. .

Decker a été rejoint par le commandant Thomas Christl, directeur du Bureau de protection des infrastructures critiques du HHS au sein de l’Administration pour la préparation et la réponse stratégiques, Nicholas Heesters, conseiller principal en cybersécurité pour le Bureau des droits civils et Nick Rodriguez, directeur du HHS. Programme 405(d).

Un « changement radical » dans l’approche de la gestion des risques

Christl a déclaré qu’il y a eu récemment de nombreuses conversations au sein du HHS sur la façon dont son département ASPR peut aborder la cybersécurité du secteur des soins de santé et de la santé publique de manière plus « holistique » – mieux et aider le HHS dans son rôle de Agence de gestion des risques sectoriels pour les soins de santé sous l’Agence de cybersécurité et de sécurité des infrastructures.

Il y a eu « un changement radical dans la façon dont nous abordons le cyber-comme le SRMA d’une manière que nous n’aurions même pas pu imaginer il y a deux ou trois ans », a-t-il déclaré.

En collaboration avec la CISA et des partenaires du secteur privé, l’ASPR prévoit de renforcer sa cyber-capacité, investit dans le suivi des cyber-incidents et a publié le Boîte à outils d’identification des risques et de criticité du siteune évaluation de 94 questions basée sur le cadre de cybersécurité du NIST.

L’outil donnera au HHS la possibilité de générer des données globales anonymes sur l’état du secteur, a déclaré Christl, qui a noté que l’ASPR pourrait également disposer de plus de personnel ou de plus de ressources. « Nous recevons un investissement de la part de nos hauts dirigeants », ce qui permettra à la fonction de préparation et d’intervention du HHS « de faire plus à tous les niveaux ».

En réponse à une question sur le partage d’informations sur les menaces, Christl a déclaré que l’agence étudiait comment déclasser et déclassifier les informations via des « protocoles de feux de circulation » pour les rendre « consommables » et utiles au HIT, et envisageait également d’ajouter des informations complètes. des liaisons temporelles avec le FBI et la CISA pour faciliter cela.

Nouvelle ressource pour 405(d)

Decker a fourni un bref historique de l’analyse paysagère parrainée par l’article 405(d), qui, selon lui, s’aligne sur le Mise à jour des pratiques de cybersécurité du secteur de la santé publiée lors du HIMSS23 en avril.

Cette analyse de ce que les organisations de soins de santé font bien et de leurs lacunes a donné au HHS une feuille de route, tout en fournissant aux organisations des données pour se comparer à leurs pairs en fonction de leur taille et d’autres facteurs, a déclaré Rodriguez.

Rodriguez a déclaré que le programme 405(d) se concentre sur la collaboration avec l’ASPR, l’intégration de leurs données et le renforcement de leur soutien pour mieux aider l’industrie « à produire plus de documents, à produire plus de formations – à produire plus d’éducation » et également à fournir une sensibilisation directe aux petits. systèmes de santé.

Parallèlement à la récente actualisation de l’IPCH, le HHS propose également de nouvelles connaissances à la demande. Un programme d’éducation et de formation gratuit en quatre parties est conçu pour la formation des utilisateurs finaux, et les fichiers peuvent être téléchargés pour les organisations qui disposent de leurs propres systèmes d’apprentissage, a-t-il indiqué.

Dans un avenir proche, 405(d) publiera également une publication sur la gestion des risques de cyber-entreprise et une liste de contrôle opérationnelle commune mise à jour pour les 12 premières heures après un cyber-événement, a déclaré Rodriguez.

Comment l’IPCH peut aider aux enquêtes OCR

Heesters a déclaré que l’OCR avait reçu plus de 30 000 plaintes concernant des violations potentielles de la confidentialité ou de la sécurité des informations de santé et plus de 700 notifications de violation pour 2022.

Decker a demandé à Heesters comment les nouvelles considérations en vertu de la loi HITECH donnent aux organismes de santé une longueur d’avance sur les enquêtes s’ils ont mis en œuvre l’IPCH et d’autres directives 405(d).

Étant donné que les réglementations sont conçues pour être non prescriptives, Heesters a déclaré qu’il pensait que les éléments spécifiques d’action de l’IPCH sont utiles aux organisations pour réfléchir à la manière de mieux renforcer leur environnement et de protéger les ePHI. Il a nommé l’analyse des risques, le contrôle des points finaux, l’inventaire des actifs, l’authentification multifacteur et d’autres protocoles de sécurité réseau de HICP.

De nombreux éléments sont directement liés aux exigences de sécurité.

« Ainsi, même si la règle de sécurité n’est pas prescriptive, les exigences visent à protéger les informations sur la santé », a déclaré Heesters.

Par exemple, il a déclaré que la section sur les exercices de simulation de phishing « s’accorde très bien » avec l’exigence de fournir des rappels de sécurité auxquels les entités doivent se conformer.

Andrea Fox est rédactrice en chef de Healthcare IT News.
Courriel : [email protected]
Healthcare IT News est une publication HIMSS Media.

kermitwrenn4780septembre 8, 2023Dernière mise à jour: septembre 8, 2023
News 24 est un site d’information. Les actualités les plus importantes sont collectées à l’aide d’un algorithme d’acceptation automatique et de traduction automatique des actualités.