Den 4 oktober 2023 presenterade det amerikanska hälsodepartementet (HHS) en ny uppsättning frivilliga cybersäkerhetsmål (CPG) som är speciellt anpassade för hälso- och sjukvårdssektorn och folkhälsan. Detta initiativ svarar på den ökande frekvensen och allvarligheten i ransomwareattacker och andra cyberhot som har stört hälso- och sjukvårdsverksamhet och äventyrat känslig patientinformation de senaste åren.

CPG:erna består av 10 specifika mål, indelade i tre nivåer: Nivå 1 (essentiell), Nivå 2 (förbättrad) och Nivå 3 (avancerad). Essentiella mål inkluderar grundläggande åtgärder som att utveckla en plan för hantering av cybersäkerhetshändelser, införa multifaktorautentisering och etablera ett riskhanteringsprogram. Förbättrade mål bygger på dessa med krav som sårbarhetshantering och e-postssäkerhetsprotokoll, medan avancerade mål inkluderar mer sofistikerade metoder som zero trust-arkitektur och hantering av risker i leveranskedjan.

HHS-sekreterare Xavier Becerra betonade åtgärdernas brådska och sa: 'Cyberattacker mot vårt hälso- och sjukvårdssystem är inte bara ett hot mot data – de är ett hot mot liv. Dessa mål ger en tydlig vägkarta för hälso- och sjukvårdsorganisationer att skydda patienter och stärka nationens hälsostruktur.' Ramverket utvecklades genom ett samarbete som involverade Health Sector Coordinating Council Cybersecurity Working Group, Cybersecurity and Infrastructure Security Agency (CISA) och andra federala enheter.

Bakgrundskontexten belyser hälso- och sjukvårdssektorns sårbarhet. Enligt HHS har cyberattacker ökat explosionsartat, med noterbara incidenter som ransomwareattacken mot Change Healthcare 2023 som påverkade miljontals patienter och orsakade omfattande störningar i fakturering. CPG:erna är utformade för att vara skalbara, vilket gör det möjligt för små praktiker och stora sjukhus att införa åtgärder som passar deras resurser.

Även om de är frivilliga uppmuntrar HHS till implementering genom att integrera målen i bredare regulatoriska förväntningar och erbjuda teknisk assistans. Inga omedelbara mandat meddelades, men utgivningen understryker en proaktiv hållning mitt i pågående hot. Hälso- och sjukvårdsledare har välkomnat vägledningen, och en representant från en branschorganisation noterade: 'Detta är ett viktigt steg mot en mer motståndskraftig sektor.' Konsekvenserna inkluderar potentiella minskningar i kostnader för dataintrång, uppskattade till miljarder årligen, och förbättrad kontinuitet i vården under cyberincidenter.

Målen är tillgängliga på HHS webbplats för omedelbar implementering, med löfte om pågående stöd genom resurser och utbildning.