Konsultan Patologi Central Oregon telah menjalankan bisnisnya selama hampir 60 tahun, menyediakan pengujian molekuler dan layanan diagnostik lainnya di sebelah timur Cascade Range.
Mulai musim dingin lalu, dia bekerja berbulan-bulan tanpa bayaran dan hidup dengan uang tunai, pra
Kata manajer Julie Tracewell. Praktik ini mengikuti salah satu serangan digital paling signifikan dalam sejarah Amerika: peretasan manajer pembayaran Change Healthcare pada bulan Februari.
COPC baru-baru ini mengetahui bahwa Change telah mulai memproses beberapa klaim yang belum terselesaikan, yang berjumlah sekitar 20.000 pada bulan Juli, namun Tracewell tidak mengetahui yang mana, katanya. Portal pembayaran pasien mati, artinya pelanggan tidak dapat membayar tagihannya.
“Butuh waktu berbulan-bulan untuk menghitung total kerugian akibat downtime ini,” ujarnya.
Layanan kesehatan adalah target paling umum serangan ransomware: Pada tahun 2023, FBI mengatakan249 di antaranya ditujukan untuk institusi kesehatan – terbanyak.
Dan para pemimpin layanan kesehatan, pengacara, dan mereka yang berada di ruang Kongres khawatir bahwa respons pemerintah federal tidak berdaya, kekurangan dana, dan terlalu terfokus pada perlindungan rumah sakit – meskipun Amandemen telah membuktikan bahwa kelemahannya tersebar luas.
Senator Ron Wyden (D-Ore.) dari Departemen Kesehatan dan Layanan Kemanusiaan mengatakan bahwa “pendekatan yang ada saat ini terhadap keamanan siber layanan kesehatan – pengaturan mandiri dan praktik terbaik sukarela – sangat tidak memadai dan membuat sistem layanan kesehatan rentan terhadap penjahat dan pelaku kejahatan siber. peretas pemerintah asing.” , ketua komite keuangan Senat, tulisnya dalam suratnya baru-baru ini kepada agen.
Uangnya tidak ada, kata Mark Montgomery, direktur senior Pusat Inovasi Siber dan Teknologi Yayasan Pertahanan Demokrasi. “Kami telah melihat upaya yang sangat bertahap, bahkan hampir tidak ada, untuk berinvestasi lebih banyak di bidang keamanan, katanya.
Tugas mendesak – 2024 adalah tahun pelayanan kesehatan yang tepat. Ratusan rumah sakit di seluruh Tenggara mengalami gangguan Setelah organisasi nirlaba OneBlood, sebuah layanan amal, menjadi korban serangan ransomware, kemampuan mereka untuk menerima darah untuk transfusi terganggu.
Serangan dunia maya mempersulit tugas-tugas sederhana dan kompleks, kata Nate Couture, kepala petugas keamanan informasi di Jaringan Kesehatan Universitas Vermont, yang mengalami serangan ransomware pada tahun 2020. “Kita tidak bisa mencampur cocktail dengan mata,” katanya. dengan mengacu pada pengobatan kanker, pada acara bulan Juni di Washington, DC
Pada bulan Desember, HHS mengembangkan strategi keamanan siber bertujuan untuk mendukung sektor ini. Beberapa usulan menargetkan rumah sakit, termasuk program wortel dan tongkat untuk memberi penghargaan kepada penyedia layanan yang menerapkan praktik keamanan “penting” tertentu dan memberikan sanksi kepada mereka yang tidak menerapkannya.
Bahkan fokus sempit itu bisa memakan waktu bertahun-tahun: Dalam usulan anggaran departemenuang akan disalurkan ke rumah sakit “berkebutuhan tinggi” pada tahun fiskal 2027.
Iliana Peters, mantan staf pengacara Kantor HHS untuk Hak Sipil, mengatakan dalam sebuah wawancara bahwa fokus pada rumah sakit “tidak tepat.” Dia mengatakan “pemerintah federal perlu melangkah lebih jauh” dengan berinvestasi pada organisasi yang mengadakan dan membuat kontrak dengan penyedia.
Brian Mazanek, wakil direktur Administrasi Kesiapsiagaan dan Respons Strategis HHS, mengatakan dalam sebuah wawancara bahwa fokus departemen dalam melindungi kesehatan dan keselamatan pasien “menempatkan rumah sakit pada urutan teratas dalam daftar mitra prioritas kami.”
Tanggung jawab atas keamanan siber layanan kesehatan di negara ini dipikul oleh tiga kantor di dua lembaga berbeda. Kantor Hak-Hak Sipil di departemen kesehatan adalah semacam polisi yang bertugas memantau apakah rumah sakit dan kelompok kesehatan lainnya memiliki perlindungan yang memadai terhadap privasi pasien dan berpotensi mendenda mereka jika tidak melakukannya.
Kantor Kesiapsiagaan Departemen Kesehatan dan Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri membantu membangun pertahanan dengan, misalnya, mewajibkan pengembang perangkat lunak medis menggunakan teknologi audit untuk memverifikasi keamanan mereka.
Kedua hal tersebut memerlukan pembuatan daftar “entitas yang penting secara sistemik” yang operasinya penting untuk berfungsinya sistem layanan kesehatan. Organisasi-organisasi ini dapat menarik perhatian khusus, seperti diikutsertakan dalam pengarahan ancaman pemerintah, kata Josh Corman, salah satu pendiri kelompok advokasi dunia maya I Am The Cavalry, dalam sebuah wawancara.
Ketika berita mengenai peretasan Change tersebar, para pejabat federal sedang mengerjakan daftar tersebut – namun Change Healthcare tidak ada dalam daftar tersebut, kata Jen Easterly, kepala petugas keamanan siber badan tersebut, pada sebuah acara di bulan Maret.
Nitin Natarajan, wakil direktur badan keamanan siber, mengatakan kepada KFF Health News bahwa daftar tersebut hanyalah rancangan. Agen dihitung sebelumnya itu melengkapi daftar mata pelajaran di antara bagian-bagian – September lalu.
Kantor Kesiapsiagaan Departemen Kesehatan seharusnya berkoordinasi dengan Badan Keamanan Siber Nasional dan seluruh departemen kesehatan, namun staf Kongres mengatakan upaya badan tersebut gagal. Di HHS, terdapat “silo yang sangat baik” di mana “tim tidak berbicara satu sama lain, [where it] tidak jelas siapa yang harus dituju,” kata Matt McMurray, kepala staf Rep. Robin Kelly (D-Ill.), pada konferensi telepon bulan Juni.
Apakah Kantor Kesiapsiagaan Departemen Kesehatan “Rumah yang Tepat untuk Keamanan Siber? Saya tidak yakin,” katanya.
Secara historis, kantor ini berfokus pada bencana fisik global – gempa bumi, angin topan, serangan kebakaran, pandemi. Chris Meekins, yang bekerja di kantor Trump dan sekarang menjadi analis di bank investasi Raymond James, mengatakan bahwa mereka mewarisi keamanan siber ketika pemerintahan era Trump berjuang untuk mendapatkan lebih banyak uang dan kekuasaan.
Namun sejak saat itu, kata Meekins, badan tersebut telah menunjukkan bahwa mereka “tidak mempunyai kapasitas untuk melakukan hal tersebut. Tidak ada pendanaan, tidak ada keterlibatan, tidak ada keahlian.”
Annie Fixler, direktur Pusat Inovasi Siber dan Teknologi FDD, mengatakan kantor kesiapsiagaan hanya memiliki sejumlah kecil karyawan yang fokus pada keamanan siber. Mazanek mengakui jumlahnya tidak banyak, namun berharap adanya tambahan dana akan membuat lebih banyak pekerja yang bisa dipekerjakan.
Pemerintah lambat dalam menanggapi umpan balik eksternal. Ketika lembaga kliring industri untuk ancaman dunia maya mencoba berkoordinasi dengannya untuk menciptakan proses respons terhadap insiden, “mungkin diperlukan waktu tiga tahun untuk mengidentifikasi seseorang yang ingin mendukung upaya tersebut,” kata Jim Root yang saat itu menjabat sebagai ketua Health Information Exchange Group. dan sebuah wadah pemikir.
Selama serangan NotPetya pada tahun 2017 – pelanggaran yang menimpa rumah sakit dan produsen obat Merck – Health-ISAC akhirnya mendistribusikan informasi kepada anggotanya, termasuk cara terbaik untuk mencegah serangan tersebut, kata Root.
Para pendukungnya melihat peretasan ini sebagai upaya untuk melakukan perubahan, yang dilaporkan terjadi karena kurangnya autentikasi multi-faktor, sebuah teknologi yang sangat familiar di tempat kerja di Amerika, dan mengatakan HHS harus menggunakan mandat dan insentif agar sektor kesehatan menerapkan perlindungan yang lebih baik. untuk melakukan Strategi departemen tersebut, yang diterbitkan pada bulan Desember, mengusulkan daftar tujuan yang relatif terbatas untuk sektor kesehatan, yang saat ini sebagian besar bersifat sukarela. Mazanek mengatakan badan tersebut akan “belajar” untuk menciptakan standar “baru yang dapat ditegakkan”.
Sebagian besar strategi HHS harus dikembangkan dalam beberapa bulan mendatang. Departemen telah meminta lebih banyak dana. Readiness Office, misalnya, ingin meminta tambahan $12 juta untuk keamanan siber. Dengan anggaran yang tetap dan berkurangnya staf penegak hukum, Kantor Hak Sipil perlu memperbarui peraturan privasi dan keamanannya.
“Masih ada tantangan besar yang dihadapi industri secara keseluruhan,” kata Root. “Saya tidak melihat apa pun yang akan mengubah hal itu.”
Berita Kesehatan KFF merupakan pusat berita nasional yang menghasilkan jurnalisme mendalam mengenai isu kesehatan dan merupakan salah satu program operasional utama KFF — sumber independen untuk penelitian kebijakan kesehatan, jajak pendapat, dan jurnalisme.
©2024 Berita Kesehatan KFF. Didistribusikan oleh Tribune Content Agency, LLC.
