Kelalaian keamanan siber di bidang kesehatan dapat mengakibatkan denda besar, hukuman penjara bagi CEO berdasarkan undang-undang baru
Pelanggaran keamanan siber dapat dikenakan denda sebesar $250.000 jika organisasi perawatan kesehatan membiarkan "kelalaian yang disengaja tidak diperbaiki" dalam pertahanan jaringan komputer mereka, menurut undang-undang baru.
Sementara itu, pemerintah federal akan menjanjikan $1,3 miliar kepada rumah sakit untuk memperkuat langkah-langkah keamanan siber mereka.
Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan yang baru diperkenalkan pada tanggal 26 September oleh Senator Ron Wyden (D-Oregon), ketua Komite Keuangan Senat, dan Senator Mark Warner (D-Virginia). Mereka mengatakan RUU tersebut akan “meningkatkan keamanan siber dalam sistem perawatan kesehatan Amerika di tengah gelombang serangan siber yang meningkat yang melanggar privasi warga Amerika dan menyebabkan gangguan besar pada perawatan di seluruh negeri.”
"Gagal dalam Keamanan Siber 101"
Dampak pastinya belum jelas bagi dokter yang berpraktik secara pribadi. Namun, hal ini bertujuan untuk memacu sistem kesehatan besar dan mitra bisnis mereka untuk meningkatkan keamanan siber mereka.
Dalam rilis berita mereka, Wyden dan Warner mencatat bahwa Komite Keuangan Senat tahun ini memanggil CEO UnitedHealth Group Andrew Witty untuk menjelaskan serangan siber tahun ini terhadap anak perusahaan Change Healthcare . Serangan tersebut melumpuhkan sistem pembayaran di seluruh sistem perawatan kesehatan nasional, berlangsung selama berminggu-minggu, dan Wyden telah meminta pemerintahan Presiden Joe Biden untuk meminta pertanggungjawaban perusahaan atas terjadinya serangan tersebut.
"Perusahaan besar seperti UnitedHealth gagal dalam Keamanan Siber 101, dan keluarga-keluarga Amerika menderita akibatnya," kata Wyden dalam rilis berita tersebut. "Industri perawatan kesehatan memiliki beberapa praktik keamanan siber terburuk di negara ini meskipun sangat penting bagi kesejahteraan dan privasi warga Amerika.
"Reformasi yang masuk akal ini, yang mencakup hukuman penjara bagi CEO yang berbohong kepada pemerintah tentang keamanan siber mereka, akan menjadi langkah awal untuk meningkatkan keamanan siber di antara perusahaan perawatan kesehatan di seluruh negeri dan membendung gelombang serangan siber yang mengancam melumpuhkan sistem perawatan kesehatan Amerika," katanya.
'Peraturan yang campur aduk'
Warner, mantan eksekutif industri teknologi, telah lama menjadi advokat dan merupakan salah satu pendiri Senat Cybersecurity Caucus. Pada bulan November 2022, ia menerbitkan makalah tentang opsi kebijakan, “Cybersecurity Is Patient Safety: Policy Options in the Health Care Sector,” dan sebelumnya ia mengatakan kepada Medical Economics bahwa regulasi federal tentang keamanan siber perawatan kesehatan merupakan campuran dari regulasi dan pengawasan.
"Serangan siber terhadap institusi perawatan kesehatan kita mengancam data pribadi pasien yang paling banyak dan menunda perawatan medis yang penting, yang secara langsung membahayakan nyawa dan kesehatan jangka panjang warga Amerika," kata Warner dalam rilis berita tersebut. "Dengan peretasan yang telah menargetkan institusi di seluruh negeri, sekarang saatnya untuk melampaui standar sukarela dan memastikan penyedia dan vendor perawatan kesehatan serius dalam hal keamanan siber dan keselamatan pasien.
"Saya senang memperkenalkan undang-undang yang akan mewajibkan protokol keamanan siber yang masuk akal sekaligus menyalurkan sumber daya ke rumah sakit di daerah pedesaan dan yang kurang terlayani untuk memastikan mereka memiliki dana guna memenuhi standar baru ini," katanya.
Apa fungsinya
RUU tersebut akan menghapus batasan denda yang ditetapkan oleh Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan federal. Skala tersebut mencegah regulator mengeluarkan denda yang cukup besar untuk mencegah perusahaan-perusahaan besar mengabaikan peraturan pemerintah, kata siaran pers para senator.
Undang-undang baru tersebut akan meningkatkan pengawasan federal melalui Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS), menurut ringkasan pasal demi pasal dalam RUU tersebut . Departemen tersebut akan memiliki waktu dua tahun untuk mengadopsi persyaratan keamanan minimum baru yang lebih baik untuk entitas yang memiliki kepentingan sistemik atau penting bagi keamanan nasional. Hal itu dapat mencakup entitas atau bisnis apa pun yang jika terjadi kegagalan atau gangguan “akan berdampak melemahkan pada akses ke perawatan kesehatan atau stabilitas sistem perawatan kesehatan.”
Menurut ringkasan bagian demi bagian RUU tersebut, entitas yang tercakup akan diharuskan untuk melakukan dan mendokumentasikan analisis risiko keamanan atau uji stres untuk memeriksa rencana penyelesaian insiden secara cepat dan tertib.
Standar baru akan diterbitkan setiap dua tahun, dan HHS akan mengaudit praktik keamanan data dari sedikitnya 20 entitas yang tercakup setiap tahun. Biaya pengguna baru akan digunakan untuk membiayai pengawasan HHS, dengan sedikitnya $40 juta per tahun yang didedikasikan untuk keamanan siber.
Comments
Post a Comment