Konsultan Patologi Central Oregon telah menjalankan bisnisnya selama hampir 60 tahun, menyediakan pengujian molekuler dan layanan diagnostik lainnya di sebelah timur Pegunungan Cascade.
Mulai musim dingin yang lalu, mereka hidup tanpa upah selama beberapa bulan dan bertahan hidup dengan uang tunai,
Manajer praktik Julie Tracewell mengatakan praktik tersebut mengikuti salah satu serangan digital terburuk dalam sejarah AS: peretasan perusahaan manajemen pembayaran Change Healthcare pada bulan Februari.
COPC baru-baru ini mengetahui bahwa Change telah mulai memproses beberapa klaim yang belum dibayar, yang berjumlah sekitar 20.000 pada bulan Juli, namun Tracewell tidak tahu yang mana, katanya. Portal pembayaran pasien tetap ditutup, yang berarti pelanggan tidak dapat melunasi rekening mereka.
“Diperlukan waktu beberapa bulan untuk menghitung whole biaya pemadaman ini,” katanya.
Layanan kesehatan adalah goal paling umum dari serangan ransomware: FBI mengatakan ada 249 serangan ransomware yang menargetkan organisasi layanan kesehatan pada tahun 2023, jumlah terbanyak dibandingkan industri mana pun.
Para direktur kesehatan, pengacara, dan anggota Kongres khawatir bahwa respons federal tidak berdaya, kekurangan dana, dan terlalu terfokus pada perlindungan rumah sakit – bahkan ketika perubahan menunjukkan bahwa kelemahan ini tersebar luas.
Senator Ron Wyden, D-Ore., mengatakan “pendekatan Departemen Kesehatan dan Layanan Kemanusiaan saat ini terhadap keamanan siber layanan kesehatan – pengaturan mandiri dan praktik terbaik sukarela – sangat tidak memadai, membuat sistem layanan kesehatan rentan terhadap serangan penjahat dan pihak asing. peretas pemerintah.”
Mark Montgomery, direktur senior Pusat Inovasi Siber dan Teknologi di Yayasan Pertahanan Demokrasi, mengatakan pendanaan tersebut tidak ada dan “kami telah melihat upaya untuk mengeluarkan lebih banyak uang untuk keamanan yang hampir tidak ada. “
Tugas ini mendesak—2024 adalah tahun yang ditandai dengan tingginya tingkat peretasan layanan kesehatan, dengan organisasi nirlaba OneBlood menjadi korban serangan ransomware yang mengganggu kemampuan ratusan rumah sakit di seluruh Tenggara untuk mendapatkan darah untuk transfusi.
Nate Couture, kepala petugas keamanan Informasi di Jaringan Kesehatan Universitas Vermont, mengatakan serangan siber membuat tugas-tugas sehari-hari dan kompleks menjadi lebih rumit. Koktail kemoterapi,” katanya, berbicara tentang pengobatan kanker di sebuah acara di Washington, D.C., pada bulan Juni.
Pada bulan Desember, Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS mengusulkan strategi keamanan siber untuk mendukung industri ini, termasuk program wortel dan tongkat untuk memberi penghargaan kepada penyedia layanan kesehatan karena mengambil langkah-langkah keamanan “dasar” tertentu dan memberikan sanksi kepada mereka yang melakukan tindakan tersebut gagal mengambil tindakan seperti itu.
Bahkan fokus sempit tersebut mungkin memerlukan waktu bertahun-tahun untuk terwujud: Dana akan mulai mengalir ke rumah sakit yang “berkebutuhan tinggi” pada tahun fiskal 2027, menurut proposal anggaran departemen tersebut.
Iliana Peters, mantan pengacara penegak hukum di Kantor Hak Sipil Departemen Kesehatan dan Layanan Kemanusiaan AS, mengatakan dalam sebuah wawancara bahwa fokus pada rumah sakit “tidak tepat” dan bahwa “pemerintah federal perlu berinvestasi lebih lanjut” dalam pasokan dan organisasi kontrak.
Brian Mazanek, wakil administrator Administrasi Kesiapsiagaan dan Respons Strategis Departemen Kesehatan dan Layanan Kemanusiaan AS, mengatakan dalam sebuah wawancara bahwa kepentingan departemen tersebut dalam melindungi kesehatan dan keselamatan pasien “benar-benar menempatkan rumah sakit di urutan teratas daftar mitra prioritas kami.” ”.
Tanggung jawab atas keamanan siber kesehatan nasional ditanggung bersama oleh tiga kantor dalam dua lembaga berbeda. , tindakan ini dapat diambil.
Kantor Kesiapsiagaan Departemen Kesehatan dan Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri membantu membangun pertahanan, seperti mewajibkan pengembang perangkat lunak medis untuk menggunakan teknologi audit untuk memeriksa keamanan mereka.
Josh Corman mengatakan hal terakhir ini memerlukan pembuatan daftar “entitas yang penting secara sistemik” yang operasinya sangat penting untuk kelancaran fungsi sistem kesehatan, seperti dimasukkan dalam pengarahan ancaman pemerintah di tengah-tengah.
Jen Easterly, kepala badan keamanan siber Departemen Keamanan Dalam Negeri, mengatakan pada acara bulan Maret bahwa pejabat federal telah mengembangkan daftar tersebut ketika berita tentang peretasan Change tersebar, namun Change Healthcare tidak ada dalam daftar.
Nitin Natarajan, wakil direktur badan keamanan siber, mengatakan kepada KFF Well being Information bahwa badan tersebut diharapkan menyelesaikan daftar entitas lintas industri pada bulan September lalu.
Kantor Kesiapsiagaan Departemen Kesehatan seharusnya berkoordinasi dengan badan keamanan siber DHS dan departemen kesehatan secara keseluruhan, namun staf kongres mengatakan upaya yang dilakukan kantor tersebut tidaklah cukup dan terdapat “silo of excellency” di HHS dan “tim di antara mereka.” Tidak ada komunikasi di antara mereka, [where it] Tidak jelas siapa yang harus dituju,” kata Matt McMurray, kepala staf Rep. Robin Kelly (D-Sick.), pada pertemuan di bulan Juni.
Dia mengatakan kantor kesiapsiagaan departemen kesehatan “adalah tempat yang tepat untuk keamanan siber?”
Chris Meekins, yang bekerja di Kantor Kesiapsiagaan di bawah Trump, mengatakan bahwa secara historis, kantor tersebut berfokus terutama pada bencana dunia nyata – gempa bumi, angin topan, serangan antraks, pandemi, dan banyak lagi. ·Analis di James Funding Financial institution.
Namun sejak saat itu, kata Meekins, badan tersebut telah menunjukkan bahwa mereka “tidak memenuhi syarat untuk melakukan hal ini, tidak ada pendanaan, tidak ada keterlibatan dan tidak ada keahlian di sana.”
Annie Fixler, direktur Pusat Inovasi Siber dan Teknologi FDD, mengatakan hanya “sebagian kecil” staf di Kantor Kesiapsiagaan yang fokus pada keamanan siber. Lebih banyak karyawan.
Kantor tersebut lambat dalam menanggapi umpan balik dari luar, dan ketika Clearinghouse Informasi Industri Ancaman Siber mencoba berkoordinasi dengannya untuk membuat proses respons insiden, “mungkin diperlukan waktu tiga tahun untuk mengidentifikasi orang-orang yang bersedia mendukung” upaya tersebut, kata Jim Rouse dari kantor.
Routh mengatakan bahwa selama serangan NotPetya pada tahun 2017, sebuah peretasan yang menyebabkan kerusakan signifikan pada rumah sakit dan produsen obat Merck & Co., Well being-ISAC akhirnya menyebarkan informasi kepada anggotanya, termasuk cara terbaik untuk menahan serangan tersebut.
Para pendukung fokus pada peretasan Perubahan – yang dilaporkan disebabkan oleh kurangnya otentikasi multi-faktor, sebuah teknologi yang sangat acquainted di tempat kerja Amerika – dan mengatakan HHS perlu menggunakan mandat dan insentif agar sektor layanan kesehatan mengadopsi apa yang diumumkan departemen tersebut pada tahun 2017. Desember. Pertahanan yang lebih baik dirilis. Standar “Eksekusi”.
Misalnya, sebagian besar strategi Departemen Kesehatan dan Layanan Kemanusiaan akan diluncurkan dalam beberapa bulan mendatang, dan Kantor Kesiapsiagaan berharap dapat menyediakan dana tambahan sebesar $12 juta untuk keamanan siber, namun anggarannya tetap dan menurun. Pembaruan aturan.
“Industri secara keseluruhan masih menghadapi tantangan yang signifikan,” kata Rouse. “Saya rasa tidak ada yang bisa mengubah hal tersebut.”
KFF Well being Information adalah ruang redaksi nasional yang menghasilkan jurnalisme mendalam mengenai isu-isu kesehatan dan merupakan salah satu program operasi inti KFF – sumber penelitian, jajak pendapat, dan berita kebijakan kesehatan yang independen.
©2024 Berita Kesehatan KFF didistribusikan oleh Tribune Content material Company, LLC.