HHS anuncia metas voluntárias de cibersegurança para saúde
O Departamento de Saúde e Serviços Humanos dos EUA lançou um conjunto de metas voluntárias de desempenho em cibersegurança destinadas a reforçar as proteções no setor de saúde. Essas metas abordam a crescente onda de ciberataques que visam dados de pacientes e infraestrutura crítica. Desenvolvidas em colaboração com parceiros federais, elas fornecem um quadro para que as organizações aprimorem suas defesas.
Em 4 de outubro de 2023, o Departamento de Saúde e Serviços Humanos dos EUA (HHS) revelou um novo conjunto de Metas de Desempenho em Cibersegurança voluntárias (CPGs) especificamente adaptadas ao setor de saúde e saúde pública. Essa iniciativa responde ao aumento na frequência e gravidade de ataques de ransomware e outras ameaças cibernéticas que interromperam operações de saúde e comprometeram informações sensíveis de pacientes nos últimos anos.
As CPGs consistem em 10 metas específicas, categorizadas em três níveis: Nível 1 (essencial), Nível 2 (melhorado) e Nível 3 (avançado). As metas essenciais incluem medidas básicas, como desenvolver um plano de resposta a incidentes de cibersegurança, implementar autenticação multifator e estabelecer um programa de gerenciamento de riscos. As metas melhoradas constroem sobre essas com requisitos como gerenciamento de vulnerabilidades e protocolos de segurança de e-mail, enquanto as metas avançadas incorporam práticas mais sofisticadas, como arquitetura de confiança zero e gerenciamento de riscos na cadeia de suprimentos.
O Secretário do HHS, Xavier Becerra, enfatizou a urgência dessas medidas, afirmando: 'Ciberataques ao nosso sistema de saúde não são apenas uma ameaça aos dados—são uma ameaça às vidas. Essas metas fornecem um roteiro claro para organizações de saúde protegerem pacientes e fortalecerem a infraestrutura de saúde da nação.' O quadro foi desenvolvido por meio de um esforço colaborativo envolvendo o Grupo de Trabalho de Cibersegurança do Conselho de Coordenação do Setor de Saúde, a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) e outras entidades federais.
O contexto de fundo destaca a vulnerabilidade do setor de saúde. De acordo com o HHS, os ciberataques aumentaram, com incidentes notáveis como o ataque de ransomware à Change Healthcare em 2023, que afetou milhões de pacientes e causou interrupções generalizadas na cobrança. As CPGs são projetadas para serem escaláveis, permitindo que pequenas práticas e grandes hospitais adotem medidas apropriadas aos seus recursos.
Embora voluntárias, o HHS incentiva a adoção integrando essas metas em expectativas regulatórias mais amplas e fornecendo assistência técnica. Nenhum mandato imediato foi anunciado, mas o lançamento sublinha uma postura proativa em meio a ameaças contínuas. Líderes de saúde acolheram a orientação, com um representante de associação notando: 'Este é um passo vital para um setor mais resiliente.' As implicações incluem reduções potenciais nos custos de violações, estimados em bilhões anualmente, e melhoria na continuidade do cuidado durante incidentes cibernéticos.
As metas estão disponíveis no site do HHS para implementação imediata, com suporte contínuo prometido por meio de recursos e treinamento.