משרד הבריאות האמריקני (Department of Health and Human Services) פרסמה להערות הציבור הצעה לעדכון התקנות על אבטחת מידע רפואי שבידי מוסדות רפואיים וספקיהם. העדכון המוצע הוא לפרק בתקנות המכונה Security Rule תחת החוק הפדרלי לפרטיות במידע רפואי (Health Insurance Portability and Accountability Act - HIPAA). לפי משרד הבריאות האמריקני, מטרת העדכון בתקנות הוא לחזק את ההגנה מפני מתקפות סייבר על מידע רפואי.
השינויים המוצעים בתקנות כוללים -
- ביטול האבחנה שהיתה קיימת בתקנות בין אמצעי אבטחה "נדרשים" (Required) לבין אמצעי אבטחה הטעונים התייחסות (Addressable) אך אינם נדרשים בהכרח. לפי התקנות החדשות, כמעט כל אמצעי האבטחה יהיו בגדר "נדרשים" ליישום.
- תיעוד לכל נוהלי האבטחה, מדינויות האבטחה, תהליכי העבודה, ואמדנים שהארגון מבצע.
- חובה חדשה לעריכת מיפוי של מבנה מאגר המידע וכן רשימת מצאי מעודכנת של מערכות המאגר. את המסמך יש לעדכן אחת לשנה.
- חובות קונקרטיות יותר בניתוח סיכוני סייבר, כולל זיהוי חולשות ופגיעויות.
- גיבוש תהליכי עבודה כתובים לשחזור גיבויים בעת התאוששות מאסון.
- עריכת ביקורת שנתית על הציות לתקנות. ספקי שירותים נדרשים לערוך בדיקה שנתית בידי מומחה לוודא שהם מיישמים את אמצעי האבטחה הנדרשים לפי התקנות.
- הצפנת מידע בזמן תעבורה ובעת אחסון, ושימוש באימות דו-שלבי, בכפוף לחריגים מיוחדים.
- עריכת בדיקות חדירות מדי שנה וסריקת פגיעויות מדי חצי שנה.
הצעת התקנות פתוחה להערות הציבור למשך כחודשיים. מקור: הודעת משרד הבריאות האמריקני.