2023年10月4日、米国保健福祉省（HHS）は、医療および公衆衛生セクター向けに特化した新しい任意サイバーセキュリティパフォーマンス目標（CPG）を発表しました。このイニシアチブは、近年医療業務を混乱させ、機密性の高い患者情報を侵害したランサムウェア攻撃や他のサイバー脅威の頻度と深刻さの増加に対応するものです。

CPGは10の具体的な目標からなり、3つの階層に分類されます：Tier 1（基本）、Tier 2（強化）、Tier 3（先進）。基本目標には、サイバーセキュリティインシデント対応計画の策定、多要素認証の実装、リスク管理プログラムの確立などの基本的な対策が含まれます。強化目標はこれらを基に、脆弱性管理やメールセキュリティプロトコルなどの要件を追加し、先進目標はゼロトラストアーキテクチャやサプライチェーンリスク管理などのより洗練された慣行を取り入れます。

HHS長官のXavier Becerra氏は、これらの措置の緊急性を強調し、「医療システムへのサイバー攻撃はデータへの脅威だけでなく、命への脅威です。これらの目標は、医療組織が患者を保護し、国家の保健インフラを強化するための明確なロードマップを提供します。」と述べました。この枠組みは、保健セクター調整協議会サイバーセキュリティワーキンググループ、サイバーセキュリティおよびインフラセキュリティ庁（CISA）、および他の連邦機関を巻き込んだ協力的な取り組みで開発されました。

背景の文脈は、医療セクターの脆弱性を強調しています。HHSによると、サイバー攻撃は急増しており、2023年のChange Healthcareに対するランサムウェア攻撃のような注目すべき事件では、数百万人の患者に影響を及ぼし、請求業務に広範な混乱を引き起こしました。CPGはスケーラブルに設計されており、小規模診療所から大規模病院まで、資源に適した対策を採用できるようにしています。

任意であるものの、HHSはこれらの目標をより広範な規制期待に統合し、技術支援を提供することで採用を奨励しています。即時の義務は発表されていませんが、この発表は継続的な脅威の中で積極的な姿勢を強調しています。医療リーダーはこのガイダンスを歓迎しており、ある協会代表者は「これはより回復力のあるセクターに向けた重要な一歩です。」と述べました。影響には、年間数十億ドルと推定される侵害コストの潜在的な削減と、サイバーインシデント時のケアの継続性の改善が含まれます。

目標はHHSウェブサイトで即時実施可能であり、リソースとトレーニングを通じた継続的な支援が約束されています。