A saúde é um dos setores mais visados por agentes maliciosos, com o número de violações crescendo consistentemente ano após ano. Apesar dos riscos comuns de segurança que afetam os ambientes de assistência médica e das inúmeras violações de dados que chegam às manchetes, a assistência médica continua com poucos recursos para se defender contra o número crescente de ataques cibernéticos.
No início de janeiro de 2025, a HIPAA propôs um conjunto de atualizações para sua estrutura de Regra de Segurança HIPAA para fornecer regulamentações de segurança mais granulares. Esta é uma mudança muito necessária para o setor, pois forçará todas as organizações de saúde a abordar seus riscos de segurança de frente. Mas sejamos honestos: embora as mudanças propostas na HIPAA sejam um passo na direção certa, estão longe de ser uma solução completa, e muitas das novas diretrizes desafiarão organizações com poucos recursos a cumpri-las.
Por que a estrutura HIPAA está adicionando novas regulamentações?
A regra de segurança HIPAA passou por algumas revisões importantes desde seu início, com a mais recente ocorrendo no início dos anos 2000. Desde então, apenas pequenas atualizações foram aplicadas à estrutura, nenhuma das quais moveu a proverbial agulha de uma perspectiva de segurança. Além disso, as diretrizes atuais de segurança HIPAA eram mais recomendações do que requisitos na estrutura.
Em suma, era hora de uma revisão das diretrizes de segurança, especialmente no que se refere a segurança de identidade. Também vale a pena notar que as atualizações não surgiram do nada: elas foram uma resposta direta ao crescente número de ataques no setor de saúde nos últimos anos. O denominador comum com ataques neste setor foi o uso de credenciais comprometidas e não detectadas movimento lateral.
Como resultado dessa violação contínua e bem-sucedida de provedores de saúde, os reguladores da HIPAA emitiram uma mensagem forte e clara: já é suficiente.
Essas novas diretrizes propostas visam lidar com a falta de controles e postura de segurança do setor. Elas também são uma séria verificação da realidade para uma indústria que luta para acompanhar as melhores práticas de segurança.
Principais mudanças propostas para a estrutura HIPAA
Em 6 de janeiro de 2025, o Departamento de Saúde e Serviços Humanos (HHS) revelou uma proposta abrangente para atualizar a estrutura HIPAA, marcando um passo significativo para melhorar a segurança e a privacidade das informações eletrônicas de saúde protegidas (ePHI).
De acordo com as Anúncio do OCR, a regra proposta busca “melhorar a segurança cibernética e proteger melhor o sistema de saúde dos EUA de um número crescente de ataques cibernéticos” e “alinhar melhor a Regra de Segurança com as melhores práticas modernas em segurança cibernética”.
Vamos analisar mais de perto as diretrizes propostas que abordam especificamente segurança de identidade na estrutura atualizada da Regra de Segurança HIPAA.
1. Credenciais comprometidas e MFA
Para todos os pontos de acesso a informações eletrônicas protegidas de saúde (ePHI), as organizações serão obrigadas a implementar MFA proteção. Esta medida visa mitigar os riscos associados à credenciais comprometidas, reduzindo o acesso não autorizado.
2. Resposta ao incidente
Após as atualizações propostas, todas as políticas, procedimentos, planos e análises relacionadas à resposta a incidentes devem ser documentados por escrito. Um plano abrangente de resposta a incidentes, incluindo procedimentos para relatar incidentes e restaurar sistemas dentro de 72 horas de uma violação, deve ser desenvolvido por entidades cobertas. Além disso, as organizações devem conduzir testes de segurança anuais para garantir a eficácia dos controles de segurança da organização.
3. A análise de risco
Para conduzir análises de risco de segurança, o HHS propôs requisitos mais detalhados que incluem manter uma avaliação por escrito que revisa um inventário de ativos e um mapa de rede, identifica ameaças potenciais a informações de saúde protegidas (PHI) e avalia o nível de risco de cada ameaça. As organizações se beneficiarão dessa abordagem proativa ao entender e mitigar melhor as ameaças e riscos de segurança.
4. Inventário de ativos
As organizações de saúde precisarão desenvolver um inventário de ativos e um mapa de rede que rastreie o movimento de ePHI em seus sistemas. Esse requisito de mapeamento abrangente ajudará a identificar configurações incorretas e riscos de segurança, garantindo que todos os ativos estejam adequadamente protegidos contra acesso não autorizado.
5. Criptografia
Todas as PHI devem ser criptografadas tanto em repouso quanto em trânsito, refletindo uma mudança em direção a práticas de criptografia obrigatórias em vez de recomendações opcionais. Essa mudança destaca a importância crítica de proteger informações confidenciais do paciente contra acesso não autorizado durante o armazenamento e a transmissão.
6. Verificação de vulnerabilidade e teste de penetração
As organizações precisarão conduzir varreduras de vulnerabilidade a cada seis meses e realizar testes de penetração pelo menos uma vez por ano. Essas avaliações serão cruciais para identificar fraquezas em medidas de segurança antes que elas possam ser exploradas por agentes maliciosos.
7. Auditorias de conformidade
As entidades cobertas devem conduzir uma auditoria de conformidade pelo menos uma vez por ano para verificar se os controles técnicos são implementados efetivamente. As organizações devem documentar essa auditoria para provar que aderiram aos padrões de segurança atualizados.
8. Treinamento de conscientização de segurança
A regra proposta inclui novos requisitos de treinamento para membros da força de trabalho sobre identificação e relato de incidentes de segurança, acesso seguro a sistemas eletrônicos e compreensão de políticas HIPAA. Após o acesso aos sistemas de TI, o treinamento deve ser concluído em 30 dias e deve ser renovado anualmente.
A dura verdade para as organizações de saúde
Por mais significativas que sejam essas atualizações, elas também destacam os desafios enfrentados por provedores de saúde com poucos recursos. A conformidade com essas regulamentações exige a quantidade certa de recursos (equipe de TI e investimentos) em tecnologia e processos com os quais muitos provedores de saúde tendem a ter dificuldades. A não conformidade com a nova estrutura proposta pela HIPAA pode levar a penalidades regulatórias, bem como às consequências de uma violação de segurança. Ao implementar controles de segurança mais fortes e aprimorar sua postura geral de segurança, as organizações de saúde podem tomar medidas proativas para se alinhar às novas diretrizes de segurança propostas pela HIPAA, que exigem medidas de segurança mais rigorosas e abrangentes.
A abordagem proativa de segurança levará a uma conformidade mais fácil
As mudanças propostas para a estrutura HIPAA são um passo necessário para ajudar o setor de saúde em sua luta contra os criminosos cibernéticos. Ao abordar os diferentes riscos e ameaças de segurança no setor, a HIPAA está fornecendo um roteiro claro para reduzir o risco. No entanto, atingir a conformidade exigirá um esforço significativo, especialmente para organizações com poucos recursos. Os provedores de saúde devem adotar uma abordagem proativa à segurança e agir agora para se alinhar a essas mudanças, garantindo que não sejam apenas compatíveis, mas também resilientes.
Quer saber mais sobre como Silverfort pode ajudá-lo a cumprir os requisitos da HIPAA? Programar uma chamada com um de nossos especialistas ou assista ao nosso webinar sob demanda para garantir que sua organização esteja preparada, protegida e em conformidade.