החששות בנוגע לאבטחת מידע בריאותי אישי אלקטרוני מתגברות

ביום שישי, עורך דין של Ascension Health, מפעיל בית חולים גדול בארה"ב,כתבלתובע הכללי של מיין כדי למסור לו את המידע האלקטרוני על בריאות אישי (e-PHI) של מטופלים ועובדים של Ascension נפגע במהלך מתקפת תוכנת הכופר שהתרחשה במאי שהשפיעה על כמעט 5.6 מיליון אנשים.

המתקפה שיבשה משמעותית את פעילותה של Ascension ברחבי הרשת הענפה שלה, והקיפה 134,000 שותפים, 35,000 ספקים קשורים ו-140 בתי חולים ב-19 מדינות ובמחוז קולומביה. ההשלכות המיידיות כללו הסטת אמבולנסים, סגירת בתי מרקחת וחזרה לשיטות רישום ידניות, שכן מערכות IT קריטיות היו צריכות להיות במצב לא מקוון.

עו"ד העלייה לעלייה, סוניל שנוי, אמר במכתבו מ-19 בדצמבר למחלקת הגנת הצרכנים של התובע הכללי במיין, כי החברה "תתחיל להודיע ​​לתושבי מיין הרלוונטיים על התקרית הביטחונית" באמצעות שירות הדואר האמריקאי.

למרות ההיקף ההולך וגדל של איומי הסייבר נגד תעשיית הבריאות, דו"ח של שירות המחקר של הקונגרס (CRS) בתחילת החודש הדגיש כי "אין חוק מקיף להגנה על נתונים דיגיטליים בארצות הברית". חוקי הפרטיות וחוקי האבטחה המשתנים של המדינה מחזקים בעיה זו. יתר על כן, בעוד שמסמכים מנחים רבים להגנת מידע זמינים, הם מרצון.

המתקפה על Ascension היא מתקפת הסייבר האחרונה המכוונת למגזר הבריאות, הפגיע במיוחד בשל האופי הרגיש של נתוני המטופלים והחשיבות הקריטית של שירותים רפואיים ללא הפרעה. מוקדם יותר השנה הייתה מתקפת כופר דומה על, חברה בת של UnitedHealth Group שהשפיעה על המידע הבריאותי האישי של 100 מיליון אנשים, והדגישה שוב את האתגרים ההולכים וגדלים של אבטחת הסייבר העומדים בפני ספקי שירותי בריאות.

התקפת תוכנת הכופר בפברואר על Change Healthcare - המיוחסת לקבוצת פשע הסייבר של BlackCat - שיבשה תשלומים אלקטרוניים ועיבוד תביעות רפואיות שהשפיעו על ספקי שירותי בריאות וחולים ברחבי הארץ.

מנכ"ל UnitedHealth, אנדרושָׁנוּןאמר לוועדת המשנה לפיקוח וחקירות של ועדת בית הנבחרים לאנרגיה ומסחר במאי כי "פושעי הסייבר השתמשו באישורים שנפגעו כדי לגשת מרחוק לפורטל Change Healthcare Citrix, יישום המשמש לאפשר גישה מרחוק למחשבים שולחניים [שלא היו להם ריבוי גורמים] אימות. ברגע ששחקן האיום השיג גישה, הם עברו לרוחב בתוך המערכות בדרכים מתוחכמות יותר והוציאו נתונים. תוכנת כופר נפרסה תשעה ימים לאחר מכן."

ויטי אמר לוועדת הכספים של הסנאט שהחלטתו לשלם כופר של 22 מיליון דולר "היתה אחת ההחלטות הקשות ביותר שהייתי צריכה לקבל".

בשנת 2022 דווח על 626 הפרות שהשפיעו על למעלה מ-41 מיליון אנשים, רובן נבעו מתקריות פריצה. הפרות קטנות יותר, שנבעו לעתים קרובות מגישה לא מורשית או ניהול לא נכון של הנתונים, השפיעו על עוד 257,105 אנשים.

CRS הצהיר מוקדם יותר החודש בדו"ח למחוקקים בנושא אבטחת סייבר ומידע בריאותי דיגיטלי כי "התקפות סייבר המכוונות למידע בריאותי רגיש שנשמר על ידי ספקי שירותי בריאות וקופות בריאות גדלו בחדות במהלך העשור האחרון. נתונים ומידע על שירותי בריאות הם יעדים אטרקטיביים להתקפות סייבר", וכי "מומחי אבטחת סייבר צופים כי התקפות אלו ימשיכו להשפיע על מספר הולך וגדל של אנשים בעתיד".

טכנולוגיות בריאות דיגיטליות כגון רשומות בריאות אלקטרוניות, פלטפורמות בריאות טלוויזיות ומכשור רפואי הפכו לאבני היסוד של שירותי הבריאות המודרניים. הם משפרים את היעילות והנגישות. הם גם מגדילים באופן אקספוננציאלי את משטח ההתקפה עבור שחקנים זדוניים. ספקי שירותי בריאות, מבטחים וגופים קשורים אוספים ומשדרים כמויות עצומות של מידע בריאותי מוגן, מה שהופך את התעשייה הזו ליעד אטרקטיבי עבור פושעי סייבר בשל הערך הגבוה של נתוני בריאות. המידע הבריאותי של האמריקאים צובר מיליוני דולרים בשוק השחור.

עורך הדין של אסנסיישן אמר כי "החקירה של החברה קבעה כי חלק מהקבצים [הנפרצו] מכילים שם ומידע של אדם באחת או יותר מהקטגוריות הבאות: מידע רפואי (כגון מספר תיק רפואי, תאריך שירות, סוגי בדיקות מעבדה, או קודי פרוצדורה), פרטי תשלום (כגון פרטי כרטיס אשראי או מספר חשבון בנק), מידע ביטוח (כגון מזהה Medicaid/Medicare, מספר פוליסה או תביעת ביטוח), זיהוי ממשלתי (כגון מספר תעודת זהות, מספר זיהוי מס, מספר רישיון נהיגה או מספר דרכון), ומידע אישי אחר (כגון תאריך לידה או כתובת). עם זאת, סוג המידע המסוים הכרוך בו השתנה מאדם לאדם."

בתגובה להפרה, Ascension שיתפה פעולה עם מומחי אבטחת סייבר של צד שלישי כדי לחקור את האירוע ולזהות אנשים שנפגעו. עד דצמבר, הסקירה הושלמה, ואסנסיון החלה להודיע ​​למי שהמידע האישי שלהם נפגע, והציעה שירותי ניטור אשראי והגנה על זהות חינם.

התעלות אומרת שהיא שיחזרה את שלהמערכת וממשיכה לשפר את אמצעי אבטחת הסייבר שלה כדי למנוע תקריות עתידיות.

אבן היסוד של פרטיות נתוני הבריאות בארה"ב היא חוק הניידות והאחריות של ביטוח הבריאות (HIPAA), אשר נחקק כדי להבטיח טיפול מאובטח ופרטי במידע המטופל. HIPAA הציגה מספר הוראות מפתח, כולל כלל הפרטיות, כלל האבטחה וכלל הודעת הפרה. עם זאת, ככל שהטכנולוגיות מתפתחות, המסגרת של HIPAA עומדת בפני בדיקה של טווח הגעה ויעילות מוגבלת בהתמודדות עם אתגרי אבטחת סייבר מודרניים.

עליית הטכנולוגיות הדיגיטליות בתחום הבריאות חוללה מהפכה בטיפול בחולים, ייעלה תהליכים וסיפקה גישה חסרת תקדים לנתונים רפואיים. אבל, כמו בהתקדמות טכנולוגית רבות, גם הטרנספורמציה הדיגיטלית הזו הציגה פגיעויות משמעותיות, במיוחד בשמירה על הפרטיות של מידע בריאותי רגיש. תובנות אחרונות על נוף אבטחת הסייבר של בריאות דיגיטלית מדגישות את הצורך הקריטי בהגנת פרטיות חזקה ככל שהתקפות סייבר צומחות בהיקף ובתחכום.

כלל האבטחה של HIPAA מחייב אמצעי הגנה אדמיניסטרטיביים, פיזיים וטכניים להגנה על מידע בריאותי אישי אלקטרוני (e-PHI), ומעניק לגופים מכוסים שיקול דעת ביישום. גמישות זו נועדה להתאים לגדלים ויכולות ארגוניות שונות, אך גם עלולה לגרום ליישום ואכיפה לא עקביים. עם זאת, מדאיג יותר, דו"ח ה-CRS אמר כי HIPAA חל רק על ישויות מכוסות ספציפיות, כגון ספקי שירותי בריאות ומבטחים, תוך השארת מפתחי אפליקציות בריאות אישיות ומחדשי טכנולוגיה אחרים המטפלים בנתונים רגישים דומים. כתוצאה מכך, זה יוצר פערים משמעותיים שבהם נתוני בריאות נותרים פגיעים לניצול.

המבקרים מדגישים גם את חוסר היכולת של כלל האבטחה לטפל כראוי באיומים מתעוררים כגון תוכנות כופר ושימוש לרעה בנתונים בפיתוח מודלים של AI. בינה מלאכותית, למשל, מסתמכת במידה רבה על מערכי נתונים עצומים לצורך הדרכה ואימות, מה שמעלה חששות לגבי האם פרטיות המטופל נשמרת כראוי בתהליכים כאלה.

כלל הודעת ההפרה של HIPAA נועד להבטיח שקיפות כאשר הפרות מתרחשות, ומחייב ישויות מכוסות להודיע ​​לאנשים שנפגעו, למחלקת הבריאות ושירותי האנוש (HHS), ובמקרים מסוימים, לתקשורת. עם זאת, הכלל הוא תגובתי, ומתייחס לתוצאות של הפרה במקום למנוע תקריות מלכתחילה, אמר CRS.

כאשר ישויות מחוץ לתחום חוויית ה-HIPAA מפרות, חוק הודעת הפרת הבריאות של ועדת הסחר הפדרלית (FTC) חל. עם זאת, מערכת כפולה זו יוצרת בלבול בקרב בעלי עניין, שחייבים לנווט בתחומי שיפוט חופפים. היעדר מסגרת מאוחדת ומקיפה מחריף את הבעיה, ומשאיר את המטופלים לא בטוחים לגבי אבטחת הנתונים הבריאותיים שלהם.

דאגה דחופה נוספת היא אבטחת הסייבר של מכשור רפואי. מכשירים רפואיים מודרניים רבים מתחברים לרשתות או לאינטרנט, ומגבירים את הרגישות שלהם להתקפות סייבר. בתי חולים מפעילים לעתים קרובות אלפי מכשירים מחוברים, מה שהופך את זה למאתגר לנטר ולאבטח כל נקודת קצה. מכשירים לא מאובטחים לא רק מסכנים את פרטיות המטופל אלא גם מסכנים את מתן הטיפול. לדוגמה, משאבת עירוי או דפיברילטור שנפגעו עלולים לגרום לתוצאות מסכנות חיים.

מינהל המזון והתרופות (FDA) נקט בצעדים כדי לטפל בפגיעויות אלו באמצעות הנחיות אבטחת סייבר לפני השוק ואחרי השוק. עם זאת, הנטל של הבטחת אבטחת המכשיר נופל לרוב לתחום אפור בין יצרנים וספקי שירותי בריאות. אי בהירות זו מדגישה את הצורך באחריות ברורה יותר ובפיקוח קפדני יותר כדי למנוע הפרות שעלולות לסכן את פרטיות המטופל ובטיחותו.

ההשלכות של הפרות פרטיות בתחום הבריאות חורגות הרבה מעבר לעלויות כספיות. מטופלים עלולים לסבול מפגיעה במוניטין, אפליה או גניבת זהות עקב נתונים בריאותיים שדלפו. מתקפות סייבר הובילו גם לסגירת בתי חולים ולשיבושים במתן הטיפול. במקרים קיצוניים, שיבושים אלו עשויים לתרום לתוצאות בריאותיות שליליות או למקרי מוות.

התדירות ההולכת וגוברת של התקפות כופר מחמירה עוד יותר את הסיכונים הללו. בתקריות כאלה, האקרים מצפינים נתוני בריאות קריטיים ודורשים תשלום עבור שחרורו. זמן ההשבתה הנובע מאלץ לעתים קרובות ספקי שירותי בריאות לחזור לתהליכים ידניים, עיכוב טיפול ופגיעה באיכות הטיפול.

הגישה המפוצלת להגנה על מידע בריאותי אישי מותירה את מגזר הבריאות תלוי על טלאים של הנחיות פדרליות, מדינתיות ורצוניות. בעוד ש-HHS ו-FTC אוכפים את HIPAA ואת כלל ההודעות על הפרת בריאות, ההיקפים המוגבלים שלהם אינם מספקים את הספקטרום המלא של ישויות המטפלות בנתוני בריאות.

המאמצים לחיזוק תקנות אבטחת הסייבר נותרו תלויים ועומדים. HHS פרסם לפני חמש שנים הודעה על הצעת כללים לעדכון של חוק האבטחה של HIPAA. בינתיים, הוכנסו שלל חקיקה, אך ההתקדמות הייתה איטית, והותירה פערים שפושעי סייבר ממשיכים לנצל.

ככל שטכנולוגיית שירותי הבריאות מתפתחת, האיזון הנכון בין חדשנות לפרטיות הוא בעל חשיבות עליונה. בעלי עניין חייבים לשתף פעולה כדי ליצור מסגרות המגנות על נתוני המטופל מבלי לחנוק את הקידמה הטכנולוגית. זה כולל הרחבת הכיסוי הרגולטורי, שיפור תקני אבטחת סייבר, השקעה בחוסן והגברת השקיפות.

חוקים כמו HIPAA חייבים להתפתח כדי לכלול גופים לא מסורתיים, כמו מפתחי אפליקציות וחברות בינה מלאכותית, המטפלות בנתוני בריאות. תקני בסיס מחייבים בכל מערכת הבריאות האקולוגית יכולים להפחית את השונות ולשפר את האבטחה הכוללת. מענקים ומשאבים עבור גופים שממומנים בחסר, במיוחד מתקני בריאות כפריים, יכולים לעזור להם לאמץ אמצעי אבטחת סייבר חזקים, ונהלי הודעות ברורים ועקביים על הפרות יכולים לבנות אמון בין מטופלים ולהבטיח אחריות.

פרטיות המידע הבריאותי היא אבן יסוד לאמון במערכת הבריאות. ככל שהאיומים על הפרטיות הזו גדלים, כך גדלים המאמצים הקולקטיביים להגן עליה. קובעי מדיניות, ספקי שירותי בריאות, מפתחי טכנולוגיה ורגולטורים חייבים לפעול בנחישות כדי לסגור פערים, לחזק את אמצעי ההגנה ולבנות מסגרת עמידה המאבטחת את נתוני המטופלים בעולם יותר ויותר דיגיטלי. אי ביצוע זה מסכן לא רק את הפרטיות אלא את שלמות מערכת הבריאות עצמה.

נושאי מאמר

||||||