Senator Demokrat Usulkan Standar Keamanan Siber Wajib dalam Layanan Kesehatan dan Akuntabilitas yang Lebih Besar


Dua senator Demokrat telah mengumumkan undang-undang baru untuk memperbarui UU Jaminan Sosial XI dan XVIII guna memperkuat, meningkatkan pengawasan, dan kepatuhan terhadap standar keamanan informasi kesehatan. Undang-undang yang diusulkan akan membahas keamanan siber infrastruktur layanan kesehatan dan memastikan bahwa sanksi finansial yang serius dijatuhkan atas kegagalan kepatuhan.

Undang-undang tersebut – Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan – diperkenalkan oleh Ketua Komite Keuangan Senat Ron Wyden (D-OR) dan Senator Mark Warner (D-VA) dan berupaya untuk memperkenalkan standar minimum untuk keamanan siber guna mempersulit penjahat siber untuk membobol jaringan layanan kesehatan.

Saat ini, Portal Pelanggaran Hak Sipil dari Kantor HHS menunjukkan 394 pelanggaran data besar telah dilaporkan pada tahun 2024 yang disebabkan oleh insiden peretasan/TI, dan pelanggaran tersebut telah memengaruhi lebih dari 43 juta orang. Pada tahun 2023, 602 pelanggaran data dilaporkan sebagai insiden peretasan/TI yang melibatkan catatan kesehatan lebih dari 151 juta orang.

Serangan siber ini telah menunda dan mengganggu perawatan pasien, membahayakan kesehatan pasien dan keamanan nasional, mengakibatkan pencurian data sensitif warga Amerika, dan menempatkan warga Amerika pada risiko pencurian identitas dan penipuan. "Peretasan ini sepenuhnya dapat dicegah dan merupakan akibat langsung dari praktik keamanan siber yang lemah oleh penyedia layanan kesehatan dan mitra bisnis mereka," tulis para Senator.

Para Senator juga menjelaskan bahwa penegakan persyaratan keamanan siber saat ini tidak memadai dan kurangnya pembaruan penting untuk HIPAA. “HHS belum didanai dengan tepat untuk menjadi polisi yang efektif — lembaga ini belum melakukan audit keamanan siber sejak 2017, dan belum mengeluarkan peraturan terbaru berdasarkan Aturan Keamanan HIPAA sejak 2013.”

Kantor Hak Sipil HHS mengumumkan sasaran kinerja keamanan siber pada bulan Januari, yang merupakan serangkaian langkah berdampak tinggi yang dapat diterapkan untuk meningkatkan keamanan siber. Sasaran tersebut, yang mencakup langkah keamanan siber dasar seperti autentikasi multifaktor, keamanan email, pelatihan keamanan siber dasar, dan mitigasi kerentanan yang diketahui, hanya bersifat sukarela.

"Dengan peretasan yang telah menargetkan berbagai lembaga di seluruh negeri, sekarang saatnya untuk melampaui standar sukarela dan memastikan penyedia layanan kesehatan dan vendor serius dalam hal keamanan siber dan keselamatan pasien. Saya senang memperkenalkan undang-undang yang akan mewajibkan protokol keamanan siber yang masuk akal sekaligus menyalurkan sumber daya ke rumah sakit di daerah pedesaan dan yang kurang terlayani untuk memastikan mereka memiliki dana guna memenuhi standar baru ini," kata Senator Warner.

Serangan ransomware Change Healthcare pada bulan Februari menunjukkan dampak yang menghancurkan dari satu serangan siber terhadap pasien dan penyedia layanan di seluruh negeri, dan bagaimana sesuatu yang mendasar bagi keamanan siber seperti memiliki autentikasi multifaktor di semua akun dapat dilewati oleh perusahaan dengan laba lebih besar dari PDB negara kecil.

“Perusahaan besar seperti UnitedHealth gagal dalam Keamanan Siber 101, dan keluarga Amerika menderita akibatnya,” kata Senator Wyden. “Industri perawatan kesehatan memiliki beberapa praktik keamanan siber terburuk di negara ini meskipun sangat penting bagi kesejahteraan dan privasi warga Amerika. Reformasi yang masuk akal ini, yang mencakup hukuman penjara bagi CEO yang berbohong kepada pemerintah tentang keamanan siber mereka, akan menjadi langkah awal untuk meningkatkan keamanan siber di antara perusahaan perawatan kesehatan di seluruh negeri dan membendung gelombang serangan siber yang mengancam melumpuhkan sistem perawatan kesehatan Amerika.”

Persyaratan Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan

Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan memperkenalkan standar keamanan siber baru yang ketat bagi penyedia layanan kesehatan, rencana kesehatan, lembaga kliring layanan kesehatan, dan rekan bisnis dari entitas tersebut. Alih-alih mendorong organisasi layanan kesehatan untuk meningkatkan keamanan siber, Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan menuntutnya dan akan menciptakan akuntabilitas serius bagi perusahaan yang gagal memenuhi standar minimum baru untuk keamanan siber.

Undang-Undang Keamanan dan Akuntabilitas Infrastruktur Kesehatan juga akan memastikan bahwa HHS memiliki dukungan keuangan yang memadai untuk menegakkan kepatuhan secara efektif dan menuntut audit tahunan terhadap entitas yang diatur HIPAA untuk memastikan bahwa mereka mematuhi persyaratan keamanan siber yang baru. Akan ada juga sanksi keuangan yang berat bagi mereka yang tidak mematuhinya.

Beberapa persyaratan utama dari RUU tersebut adalah:

  • Pembentukan standar keamanan siber minimum wajib bagi entitas yang diatur oleh HIPAA dan peningkatan standar keamanan siber bagi entitas yang penting secara sistemik dan entitas yang penting bagi keamanan nasional.
  • Entitas yang diatur HIPAA harus tunduk pada audit keamanan siber tahunan yang independen dan melakukan uji stres untuk memastikan mereka dapat memulihkan layanan segera setelah insiden keamanan siber. HHS akan diizinkan untuk mengesampingkan persyaratan tertentu bagi penyedia layanan kecil.
  • HHS harus melakukan audit tahunan terhadap setidaknya 20 entitas yang diatur, dengan fokus pada entitas yang memiliki kepentingan strategis tertinggi
  • Para eksekutif puncak harus melakukan sertifikasi kepatuhan setiap tahun, seperti yang berlaku pada Undang-Undang Sarbanes-Oxley untuk laporan keuangan.
  • Memberikan dukungan yang lebih besar kepada pengawasan keamanan dan penegakan hukum HHS melalui biaya pengguna pada semua entitas yang diatur. Biaya pengguna akan sama dengan bagian pro rata entitas dari pengeluaran kesehatan nasional.
  • Kodifikasikan kewenangan Sekretaris untuk menyediakan pembayaran Medicare yang dipercepat dan di muka jika terjadi gangguan keamanan siber pada sistem kesehatan, seperti yang diperlukan selama serangan Change Healthcare
  • Menyediakan $800 juta dalam bentuk pembayaran investasi di muka untuk rumah sakit jaring pengaman di daerah pedesaan dan perkotaan
  • Berikan $500 juta kepada semua rumah sakit untuk mengadopsi standar keamanan siber yang ditingkatkan
  • Hapus batasan denda berdasarkan undang-undang terhadap kewenangan denda HHS untuk memastikan perusahaan-perusahaan besar menghadapi denda yang cukup besar untuk mencegah kelonggaran keamanan siber.

HHS akan diminta untuk mengadopsi standar keamanan siber minimum dan yang ditingkatkan dalam waktu 2 tahun dan memperbarui standar tersebut setidaknya setiap 2 tahun. Dalam waktu 6 bulan sejak pemberlakuan, semua entitas yang tercakup dan rekan bisnis akan diminta untuk membuat kontrak dengan auditor independen untuk menilai kepatuhan terhadap persyaratan keamanan, dan sebelum persyaratan keamanan berlaku, entitas yang tercakup dan rekan bisnis akan diminta untuk menilai kepatuhan terhadap sasaran kinerja keamanan siber HHS.

Dalam waktu 3 tahun sejak pemberlakuan, entitas yang tercakup dalam HIPAA akan diminta untuk melakukan dan mendokumentasikan analisis risiko keamanan yang mencakup informasi tentang cara dan sejauh mana entitas atau rekanan tersebut terpapar risiko melalui rekan bisnisnya. Mereka juga harus mendokumentasikan rencana untuk penyelesaian yang cepat dan tertib jika terjadi bencana alam, serangan siber yang mengganggu, atau kegagalan teknologi lainnya atas informasi mereka sendiri atau informasi rekan bisnis mereka, melakukan uji stres untuk memastikan bahwa rencana tersebut efektif, dan pernyataan tertulis harus ditandatangani oleh CEO dan CISO yang membuktikan bahwa perusahaan tersebut mematuhi semua standar dan persyaratan keamanan yang berlaku. Pengesahan tersebut harus diberikan kepada Sekretaris HHS dan diposting di situs web publik perusahaan tersebut.

Usulan Sanksi atas Ketidakpatuhan

Sanksi perdata moneter yang diusulkan atas kegagalan mematuhi standar keamanan siber adalah:

  • Tidak memiliki pengetahuan – Minimal $500
  • Alasan yang masuk akal – Minimal $5.000
  • Kelalaian yang disengaja (Telah diperbaiki) – Minimal $50.000
  • Kelalaian yang disengaja (Tidak diperbaiki) – Minimal $250.000


 

Comments