دفتر حقوق مدنی (OCR) وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) الزامات جدید امنیتی برای سازمانهای مراقبت بهداشتی را با هدف محافظت از دادههای خصوصی بیماران در صورت وقوع حملات سایبری پیشنهاد کرده است.
الزامات پیشنهادی پس از حملات سایبری عمده، مانند حملهای که اطلاعات خصوصی بیش از ۱۰۰ میلیون بیمار UnitedHealth را در سال ۲۰۲۴ فاش کرد، در نظر گرفته میشوند.
پیشنهاد OCR شامل الزام سازمانهای بهداشتی به اجباریکردن احراز هویت چندمرحلهای در اکثر شرایط، تقسیمبندی شبکههای خود برای کاهش خطرات گسترش نفوذ از یک سیستم به سیستم دیگر و رمزگذاری دادههای بیماران میشود، به طوری که حتی اگر دزدیده شوند، قابل دسترس نباشند. OCR گروههای تحت نظارت را ملزم میکند تا اقدامات خاصی را در زمینهی تجزیهوتحلیل ریسک انجام دهند و اسناد انطباقی را حفظ کنند.
قوانین جدید OCR بخشی از استراتژی امنیت سایبری است که دولت جو بایدن سال ۲۰۲۳ وضع کرد. پس از طی شدن مراحل نهایی، این مقررات بهعنوان اصلاحیهای بر قانون «قابلیت حمل و مسئولیتپذیری بیمهی درمانی» (HIPAA) سال ۱۹۹۶ به شمار خواهد آمد.
-
راه هایی برای حفظ ایمنی و حریم خصوصی در دنیای دیجیتال
-
گوگل به جمعآوری اطلاعات سلامت کاربران متهم شد
HIPAA که چارچوبی قانونی برای حفاظت از اطلاعات سلامت افراد در آمریکا محسوب میشود، تاکنون بخشهای مختلف حوزهی سلامت از جمله پزشکان، مراکز درمانی و شرکتهای بیمه را تحت پوشش قرار میداد؛ اما با توجه به تحولات روزافزون در حوزهی فناوری و پیچیدهترشدن حملات سایبری، ضرورت بهروزرسانی این قانون احساس میشد. آخرین اصلاحیهی HIPAA در سال ۲۰۱۳ صورت گرفته بود.
آن نیوبرگر، معاون مشاور امنیت ملی آمریکا، هزینهی اجرای الزامات جدید را حدود ۹ میلیارد دلار در سال اول و ۶ میلیارد دلار در سالهای دوم تا پنجم تخمین زده است.
