Das Gesundheitswesen ist einer der am häufigsten von böswilligen Akteuren angegriffenen Sektoren. Die Zahl der Verstöße nehmen von Jahr zu Jahr stetig zu. Trotz der allgemeinen Sicherheitsrisiken im Gesundheitswesen und zahlreicher schlagzeilenträchtiger Datenschutzverletzungen verfügt das Gesundheitswesen nach wie vor nicht über die nötigen Ressourcen, um sich gegen die zunehmende Zahl von Cyberangriffen zu verteidigen.
Anfang Januar 2025hat HIPAA eine Reihe von Aktualisierungen seines HIPAA-Sicherheitsregelrahmens vorgeschlagen, um detailliertere Sicherheitsvorschriften bereitzustellen. Dies ist eine dringend notwendige Änderung für die Branche, da sie jede Gesundheitsorganisation dazu zwingt, ihre Sicherheitsrisiken direkt anzugehen. Aber seien wir ehrlich: Die vorgeschlagenen Änderungen am HIPAA sind zwar ein Schritt in die richtige Richtung, aber noch lange keine vollständige Lösung, und viele der neuen Richtlinien werden für unterfinanzierte Organisationen eine Herausforderung darstellen, die Vorschriften einzuhalten.
Warum fügt das HIPAA-Framework neue Vorschriften hinzu?
Die HIPAA-Sicherheitsregel wurde seit seiner Einführung einigen größeren Überarbeitungen unterzogen, die letzte in den frühen 2000er Jahren. Seitdem wurden nur kleinere Aktualisierungen am Framework vorgenommen, von denen keine aus Sicherheitssicht etwas bewirkt hat. Darüber hinaus waren die aktuellen HIPAA-Sicherheitsrichtlinien im Framework eher Empfehlungen als Anforderungen.
Kurz gesagt, es war Zeit für eine Überarbeitung der Sicherheitsrichtlinien, insbesondere in Bezug auf Identity-Security-Lücken. Es ist auch erwähnenswert, dass die Updates nicht aus dem Nichts kamen: Sie waren eine direkte Reaktion auf die wachsende Zahl von Angriffen im Gesundheitswesen in den letzten Jahren. Der gemeinsame Nenner bei Angriffen in diesem Sektor war die Verwendung kompromittierter Anmeldeinformationen und unentdeckter lateraler Bewegung ausnutzen.
Als Reaktion auf diese fortwährenden und erfolgreichen Verstöße gegen die HIPAA-Vorschriften bei Gesundheitsdienstleistern haben die Regulierungsbehörden eine klare und deutliche Botschaft ausgesprochen: genug ist genug.
Diese neuen Richtlinien sollen den Mangel an Sicherheitskontrollen und -haltungen in der Branche beheben. Sie sind zugleich ein ernsthafter Realitätscheck für eine Branche, die Schwierigkeiten hat, mit den besten Sicherheitspraktiken Schritt zu halten.
Wichtige vorgeschlagene Änderungen am HIPAA-Rahmenwerk
Am 6. Januar 2025 stellte das Ministerium für Gesundheitspflege und Soziale Dienste (HHS) einen umfassenden Vorschlag zur Aktualisierung des HIPAA-Rahmens vor, der einen wichtigen Schritt zur Verbesserung der Sicherheit und des Datenschutzes elektronisch geschützter Gesundheitsinformationen (ePHI) darstellt.
Gemäß Ankündigung des OCRZiel der vorgeschlagenen Regelung ist es, „die Cybersicherheit zu verbessern und das US-Gesundheitssystem besser vor einer wachsenden Zahl von Cyberangriffen zu schützen“ und „die Sicherheitsregel besser an moderne Best Practices in der Cybersicherheit anzupassen“.
Werfen wir einen genaueren Blick auf die vorgeschlagenen Leitlinien, die sich speziell mit Identity-Security-Lücken im aktualisierten HIPAA-Sicherheitsregelrahmen.
1. Kompromittierte Anmeldeinformationen und MFA
Für alle Zugangspunkte zu elektronisch geschützten Gesundheitsinformationen (ePHI) müssen Organisationen Folgendes implementieren: MFA Schutz. Diese Maßnahme zielt darauf ab, Risiken im Zusammenhang mit kompromittierte Zugangsdaten, wodurch unbefugter Zugriff reduziert wird.
2. Reaktion auf Vorfälle
Nach den vorgeschlagenen Aktualisierungen müssen alle Richtlinien, Verfahren, Pläne und Analysen im Zusammenhang mit der Reaktion auf Vorfälle schriftlich dokumentiert werden. Die betroffenen Unternehmen müssen einen umfassenden Plan zur Reaktion auf Vorfälle entwickeln, der Verfahren zur Meldung von Vorfällen und zur Wiederherstellung von Systemen innerhalb von 72 Stunden nach einem Verstoß enthält. Darüber hinaus müssen Organisationen jährliche Sicherheitstests durchführen, um die Wirksamkeit ihrer Sicherheitskontrollen sicherzustellen.
3. Risikoanalyse
Zur Durchführung von Sicherheitsrisikoanalysen hat das HHS detailliertere Anforderungen vorgeschlagen, darunter die Führung einer schriftlichen Bewertung, die ein Inventar und eine Netzwerkkarte überprüft, potenzielle Bedrohungen für geschützte Gesundheitsinformationen (PHI) identifiziert und das Risikoniveau jeder Bedrohung bewertet. Organisationen profitieren von diesem proaktiven Ansatz, indem sie Sicherheitsbedrohungen und -risiken besser verstehen und eindämmen.
4. Anlageninventar
Gesundheitsorganisationen müssen ein Inventar und eine Netzwerkkarte erstellen, die die Bewegung von ePHI in ihren Systemen nachverfolgt. Diese umfassende Zuordnungsanforderung hilft dabei, Fehlkonfigurationen und Sicherheitsrisiken zu identifizieren und sicherzustellen, dass alle Assets ausreichend vor unbefugtem Zugriff geschützt sind.
5. Verschlüsselung
Alle PHI müssen sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden, was einen Trend hin zu obligatorischen Verschlüsselungspraktiken anstelle von optionalen Empfehlungen widerspiegelt. Diese Änderung unterstreicht die entscheidende Bedeutung des Schutzes sensibler Patienteninformationen vor unbefugtem Zugriff während der Speicherung und Übertragung.
6. Schwachstellenscans und Penetrationstests
Unternehmen müssen alle sechs Monate Schwachstellenscans durchführen und mindestens einmal im Jahr Penetrationstests durchführen. Diese Bewertungen sind entscheidend, um Schwachstellen in Sicherheitsmaßnahmen zu identifizieren, bevor sie von böswilligen Akteuren ausgenutzt werden können.
7. Compliance-Audits
Die betroffenen Unternehmen müssen mindestens einmal jährlich ein Compliance-Audit durchführen, um zu überprüfen, ob die technischen Kontrollen wirksam umgesetzt werden. Die Organisationen müssen dieses Audit dokumentieren, um nachzuweisen, dass sie die aktualisierten Sicherheitsstandards eingehalten haben.
8. Sicherheitsbewusstseinstraining
Die vorgeschlagene Regelung beinhaltet neue Schulungsanforderungen für Mitarbeiter hinsichtlich der Identifizierung und Meldung von Sicherheitsvorfällen, des sicheren Zugriffs auf elektronische Systeme und des Verständnisses der HIPAA-Richtlinien. Beim Zugriff auf IT-Systeme muss die Schulung innerhalb von 30 Tagen abgeschlossen und jährlich erneuert werden.
Die harte Wahrheit für Gesundheitsorganisationen
So bedeutsam diese Aktualisierungen auch sind, sie verdeutlichen auch die Herausforderungen, vor denen unterversorgte Gesundheitsdienstleister stehen. Die Einhaltung dieser Vorschriften erfordert die richtigen Ressourcen (IT-Team und Investitionen) in Technologie und Prozesse, mit denen viele Gesundheitsdienstleister oft zu kämpfen haben. Die Nichteinhaltung des neuen vorgeschlagenen Rahmens von HIPAA kann zu behördlichen Sanktionen sowie den Folgen einer Sicherheitsverletzung führen. Durch die Implementierung stärkerer Sicherheitskontrollen und die Verbesserung ihrer allgemeinen Sicherheitslage können Gesundheitsorganisationen proaktiv Schritte unternehmen, um sich an die vorgeschlagenen neuen Sicherheitsrichtlinien von HIPAA anzupassen, die strengere und umfassendere Sicherheitsmaßnahmen fordern.
Ein proaktiver Sicherheitsansatz erleichtert die Einhaltung von Vorschriften
Die vorgeschlagenen Änderungen am HIPAA-Rahmenwerk sind ein notwendiger Schritt, um die Gesundheitsbranche im Kampf gegen Cyberkriminelle zu unterstützen. Indem HIPAA die verschiedenen Sicherheitsrisiken und -bedrohungen in der Branche berücksichtigt, bietet es einen klaren Plan zur Risikoreduzierung. Die Einhaltung der Vorschriften wird jedoch erhebliche Anstrengungen erfordern, insbesondere für Organisationen mit unzureichenden Ressourcen. Gesundheitsdienstleister müssen einen proaktiven Sicherheitsansatz verfolgen und jetzt handeln, um sich auf diese Änderungen einzustellen und sicherzustellen, dass sie nicht nur konform, sondern auch widerstandsfähig sind.
Möchten Sie mehr darüber erfahren, wie Silverfort kann Ihnen bei der Einhaltung der HIPAA-Anforderungen behilflich sein? Vereinbare einen Termin mit einem unserer Experten oder Sehen Sie sich unser On-Demand-Webinar an, um sicherzustellen, dass Ihr Unternehmen vorbereitet, geschützt und konform ist.