Todos os hospitais gerais no estado de Nova York estão passando por uma mudança significativa em seus requisitos de segurança cibernética. A partir de 2 de outubro de 2024, o Departamento de Saúde do Estado de Nova York introduziu emendas abrangentes à Parte 405.3 que exigem controles de segurança cibernética mais fortes para todos os 195 hospitais gerais no estado. Os hospitais que são obrigados a cumprir devem fazê-lo até 2 de outubro de 2025.
Essas novas regulamentações determinam que todos os hospitais gerais implementem programas avançados de segurança cibernética e sigam novos protocolos de relatórios de incidentes, incluindo uma janela de 72 horas para relatar incidentes significativos de segurança cibernética. No cenário atual da saúde, onde todos os sistemas e serviços gerenciam tudo, desde registros de pacientes até equipamentos de cuidados críticos, esses requisitos representam um passo importante para proteger a infraestrutura de saúde. Vamos explorar o que essas mudanças significam para hospitais gerais e como Silverfort podem ajudar.
Compreendendo 10 NYCRR 405.46
Introduzido pelo Departamento de Saúde do Estado de Nova York (DOH) em 1999, o 10 NYCRR 405.46 inicialmente focava na proteção dos direitos dos pacientes em ambientes hospitalares, particularmente em relação ao uso de restrições e isolamento. Em resposta à crescente integração da tecnologia em operações de assistência médica, o regulamento evoluiu para abordar o risco crescente de ataques cibernéticos contra dados e sistemas de assistência médica.
De acordo com 10 NYCRR 405.46, as instalações de saúde são obrigadas a implementar medidas abrangentes de segurança cibernética para proteger informações confidenciais de pacientes e infraestrutura hospitalar crítica. Até outubro de 2024, essas medidas incluíam criptografia de dados, controles de acesso e monitoramento contínuo de registros eletrônicos de saúde (EHRs). Isso garantiu que os hospitais mantivessem padrões rigorosos de proteção de dados, reforçando a privacidade do paciente e a resiliência do sistema de saúde contra ameaças cibernéticas.
Ao exigir esses padrões proativos de segurança cibernética, o Estado de Nova York apoiou os hospitais na defesa dos direitos de privacidade e segurança de seus pacientes e destacou seu compromisso em adaptar as regulamentações de saúde em resposta aos desafios emergentes de segurança cibernética.
Novos mandatos de segurança cibernética do estado de Nova York para hospitais: 10 NYCRR 405.46
O Departamento de Saúde do Estado de Nova York anunciou no início de outubro de 2024 novos regulamentos para 10 NYCRR 405.46, exigindo proteções de segurança cibernética mais fortes nos 195 hospitais gerais de Nova York.
A conformidade total é exigida até 2 de outubro de 2025, embora os hospitais devam começar a relatar
incidentes de segurança cibernética dentro de 72 horas a partir de 2 de outubro de 2024. Este regulamento visa a proteção
para informações de saúde do paciente (PHI) e informações de identificação pessoal (PII) contra cibersegurança
ameaças.
Componentes chave:
- Programa de Segurança Cibernética: Os hospitais devem implementar um programa de segurança cibernética robusto que
inclui monitoramento de rede, resposta a incidentes, treinamento e desenvolvimento de políticas. - Diretor de Segurança da Informação (CISO): Os hospitais são obrigados a nomear um CISO,
seja como funcionário direto ou contratado terceirizado, para supervisionar a segurança cibernética
medidas. - Testes e avaliações de vulnerabilidade: Testes regulares, incluindo varreduras e penetração
avaliações são necessárias para gerenciar riscos de segurança cibernética. - Trilhas de auditoria e registros: Os hospitais devem manter trilhas de auditoria para detectar e responder a
incidentes cibernéticos e manter registros com segurança. - Resposta a Incidentes: É obrigatório um plano de resposta detalhado, com relatórios de incidentes para
o Departamento de Saúde dentro de 72 horas. - Medidas de controle de acesso: Os requisitos incluem a aplicação de políticas multifatoriais autenticação
(MFA) para sistemas externos, limitando o uso de contas privilegiadas, revisões anuais de acesso e
treinamento personalizado em segurança cibernética.
Mandatos e Apoio do Estado:
- Revisão Anual de Acesso: Os hospitais devem revisar e remover anualmente o acesso desnecessário de usuários, o que representa um desafio para contas legadas.
- Impacto no financiamento e no seguro: Nova Iorque destinou 500 milhões de dólares para apoiar
conformidade, com potenciais impactos sobre seguro cibernético termos.
Por meio desses mandatos, Nova York pretende fortalecer a segurança cibernética da saúde e dar suporte
hospitais na proteção de dados de pacientes contra ameaças cibernéticas em evolução.
Resolva todos os 10 requisitos de segurança de identidade NYCRR 405.46 com Silverfort
Silverfort equipa hospitais para atender aos novos mandatos de segurança cibernética de Nova York com soluções eficientes e econômicas segurança de identidade capacidades adaptadas aos ambientes de saúde. Ao integrar Silverfortprincipais recursos do em seu programa de segurança cibernética, você poderá marcar a caixa para cada requisito NYRR 405.46 por:
- Ampliando a proteção do MFA para acesso de linha de comando, aplicativos legados, infraestrutura de TI e outros recursos críticos que não podiam ser protegidos antes.
- Aplicando controles de acesso de segurança fortes aplicando o MFA em todos os recursos sensíveis, garantindo que apenas usuários autorizados possam acessar sistemas e dados críticos
- Aplicar políticas de MFA ou bloqueio de acesso a todos os usuários privilegiados, tanto administradores humanos quanto contas de serviço garantir que eles tenham acesso somente quando necessário é um componente essencial da segurança de acesso privilegiado.
- Monitore continuamente todas as solicitações de acesso para detectar anomalias e impedir acesso malicioso em tempo real.
- Detectando e respondendo a ameaças de identidade como a escalada de privilégios e movimento lateral ataques e respondendo automaticamente com bloqueio em tempo real.
Com Silverfortdetecção rápida de incidentes, os hospitais podem atender ao requisito de relatórios de 72 horas identificando rapidamente incidentes de segurança cibernética. Além disso, Silverfort oferece suporte a avaliações de risco abrangentes e oferece ferramentas valiosas que auxiliam os CISOs recém-nomeados a gerenciar programas de segurança abrangentes.
Projetado com ambientes de saúde em mente, Silverfort aborda ameaças específicas do setor e prepara hospitais para regulamentações futuras implementando controles de segurança de identidade escaláveis alinhados com as melhores práticas de segurança.
Baixar nosso papel branco para saber mais sobre como Silverfort pode ajudá-lo a atender aos requisitos de 10 NYCRR 405.46 ou agendar uma chamada com um de nossos especialistas.