Pada 4 Oktober 2023, Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) mengumumkan serangkaian Tujuan Kinerja Keamanan Siber sukarela (CPGs) yang dirancang khusus untuk sektor perawatan kesehatan dan kesehatan masyarakat. Inisiatif ini merespons peningkatan frekuensi dan keparahan serangan ransomware dan ancaman siber lainnya yang telah mengganggu operasi perawatan kesehatan dan membahayakan informasi pasien sensitif dalam beberapa tahun terakhir.

CPGs terdiri dari 10 tujuan spesifik, dikategorikan menjadi tiga tingkat: Tingkat 1 (esensial), Tingkat 2 (ditingkatkan), dan Tingkat 3 (lanjutan). Tujuan esensial mencakup langkah-langkah dasar seperti mengembangkan rencana respons insiden keamanan siber, menerapkan autentikasi multi-faktor, dan membentuk program manajemen risiko. Tujuan ditingkatkan membangun di atas ini dengan persyaratan seperti manajemen kerentanan dan protokol keamanan email, sementara tujuan lanjutan mengintegrasikan praktik yang lebih canggih seperti arsitektur zero trust dan manajemen risiko rantai pasok.

Menteri HHS Xavier Becerra menekankan urgensi langkah-langkah ini, menyatakan, 'Serangan siber terhadap sistem perawatan kesehatan kita bukan hanya ancaman bagi data—mereka adalah ancaman bagi nyawa. Tujuan-tujuan ini menyediakan peta jalan yang jelas bagi organisasi perawatan kesehatan untuk melindungi pasien dan memperkuat infrastruktur kesehatan bangsa kita.' Kerangka kerja ini dikembangkan melalui upaya kolaboratif yang melibatkan Kelompok Kerja Keamanan Siber Dewan Koordinasi Sektor Kesehatan, Badan Keamanan Siber dan Keamanan Infrastruktur (CISA), dan entitas federal lainnya.

Konteks latar belakang menyoroti kerentanan sektor perawatan kesehatan. Menurut HHS, serangan siber telah melonjak, dengan insiden mencolok seperti serangan ransomware Change Healthcare pada 2023 yang memengaruhi jutaan pasien dan menyebabkan gangguan penagihan yang luas. CPGs dirancang untuk dapat diskalakan, memungkinkan praktik kecil dan rumah sakit besar untuk mengadopsi langkah-langkah yang sesuai dengan sumber daya mereka.

Meskipun sukarela, HHS mendorong adopsi dengan mengintegrasikan tujuan-tujuan ini ke dalam ekspektasi regulasi yang lebih luas dan menyediakan bantuan teknis. Tidak ada mandat segera yang diumumkan, tetapi rilis ini menekankan sikap proaktif di tengah ancaman yang sedang berlangsung. Pemimpin perawatan kesehatan menyambut baik panduan ini, dengan seorang perwakilan asosiasi mencatat, 'Ini adalah langkah vital menuju sektor yang lebih tangguh.' Implikasinya termasuk pengurangan potensial biaya pelanggaran, yang diperkirakan mencapai miliaran setiap tahun, dan peningkatan kontinuitas perawatan selama insiden siber.

Tujuan-tujuan ini tersedia di situs web HHS untuk implementasi segera, dengan dukungan berkelanjutan yang dijanjikan melalui sumber daya dan pelatihan.