وزارة الصحة والخدمات الإنسانية تعلن عن أهداف طوعية لأمن المعلومات في الرعاية الصحية
أصدرت وزارة الصحة والخدمات الإنسانية الأمريكية مجموعة من الأهداف الطوعية لأداء أمن المعلومات بهدف تعزيز الحماية في قطاع الرعاية الصحية. تتعامل هذه الأهداف مع الزيادة في الهجمات الإلكترونية التي تستهدف بيانات المرضى والبنية التحتية الحرجة. تم تطويرها بالتعاون مع شركاء فيدراليين، وتوفر إطارًا للمنظمات لتعزيز دفاعاتها.
في 4 أكتوبر 2023، كشفت وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) عن مجموعة جديدة من أهداف أداء أمن المعلومات الطوعية (CPGs) المصممة خصيصًا لقطاع الرعاية الصحية والصحة العامة. تأتي هذه المبادرة ردًا على الزيادة في التكرار والشدة للهجمات الرنسوموير وغيرها من التهديدات الإلكترونية التي أعاقت عمليات الرعاية الصحية وغرقت معلومات المرضى الحساسة في السنوات الأخيرة.
تتكون CPGs من 10 أهداف محددة، مصنفة في ثلاث مستويات: المستوى 1 (أساسي)، المستوى 2 (محسن)، والمستوى 3 (متقدم). تشمل الأهداف الأساسية إجراءات أساسية مثل تطوير خطة استجابة لحوادث أمن المعلومات، تنفيذ مصادقة متعددة العوامل، وإنشاء برنامج إدارة المخاطر. تبني الأهداف المحسنة على هذه بمتطلبات مثل إدارة الثغرات الأمنية وبروتوكولات أمان البريد الإلكتروني، بينما تدمج الأهداف المتقدمة ممارسات أكثر تطورًا مثل هندسة الثقة الصفرية وإدارة مخاطر سلسلة التوريد.
أكد وزير HHS، خافيير بيسيرا، على الإلحاح لهذه الإجراءات، قائلًا: 'الهجمات الإلكترونية على نظام الرعاية الصحية لدينا ليست تهديدًا للبيانات فقط - إنها تهديد للحياة. توفر هذه الأهداف خارطة طريق واضحة لمنظمات الرعاية الصحية لحماية المرضى وتعزيز بنية الرعاية الصحية في أمتنا.' تم تطوير الإطار من خلال جهد تعاوني يشمل مجموعة عمل أمن المعلومات لمجلس تنسيق قطاع الصحة، ووكالة أمن المعلومات وأمن البنية التحتية (CISA)، وكيانات فيدرالية أخرى.
يبرز السياق الخلفي ضعف قطاع الرعاية الصحية. وفقًا لـHHS، ارتفعت الهجمات الإلكترونية، مع حوادث بارزة مثل هجوم الرنسوموير على Change Healthcare في 2023 الذي أثر على ملايين المرضى وأدى إلى اضطرابات واسعة في الفوترة. صُممت CPGs لتكون قابلة للتوسع، مما يسمح للممارسات الصغيرة والمستشفيات الكبيرة على حد سواء باتباع إجراءات مناسبة لمواردها.
رغم كونها طوعية، تشجع HHS على التبني من خلال دمج هذه الأهداف في توقعات تنظيمية أوسع وتقديم مساعدة فنية. لم يُعلن عن أوامر فورية، لكن الإصدار يؤكد موقفًا استباقيًا وسط التهديدات المستمرة. رحب قادة الرعاية الصحية بالإرشاد، مع ملاحظة ممثل عن جمعية: 'هذه خطوة حيوية نحو قطاع أكثر مرونة.' تشمل الآثار المحتملة انخفاضًا في تكاليف الاختراق، المقدرة بمليارات سنويًا، وتحسين استمرارية الرعاية أثناء الحوادث الإلكترونية.
الأهداف متاحة على موقع HHS للتنفيذ الفوري، مع دعم مستمر وعد به من خلال الموارد والتدريب.