MedDeV

חיזוק אבטחת הסייבר במערכת הבריאות: הצעת העדכון ל-HIPAA

חוק HIPAA, המגדיר את דרישות התקן בנושא ההגנה על הפרטיות במערכת הבריאות האמריקאית, צפוי ככל הנראה להתעדכן בקרוב: ב-27 בדצמבר 2024 פרסם משרד הבריאות האמריקאי (HHS) מספר עדכונים לחוק, במטרה לחזק את מערכי ההגנה על מידע רפואי רגיש, לבצע התאמה לסיכוני סייבר מתקדמים ולהעניק כלים טובים יותר לארגוני בריאות בתחום ההתמודדות עם איומים.

עדכון החוק צפוי להתבצע על רקע עלייה של עשרות אחוזים(!) במספר הדיווחים על פרצות מידע גדולות בין השנים 2018 ל-2023, בעיקר בשל עלייה במתקפות סייבר ובמתקפות כופרה. כך לדוגמה בשנת 2023 לבדה, למעלה מ-167 מיליון בני אדם נפגעו כתוצאה מפרצות מידע כאלה.

?למי העדכון רלוונטי

1. ארגוני בריאות: בתי חולים, קליניקות, קופות חולים ומוסדות רפואיים אחרים המטפלים במידע רפואי חסוי. ארגונים אלה יהיו מחויבים לעמוד בכל הדרישות החדשות, כולל הצפנה, אימות רב-שלבי ותיעוד מפורט של נהלי אבטחה.

2. יצרני ומפתחי מכשור רפואי שמסוגל להתחבר לרשת האינטרנט, כגון פריטי לבוש חכמים (“מחשוב לביש”), מכשירי אבחון ותוכנות מובנות. אלה יידרשו להבטיח שהמוצרים שלהם תואמים לדרישות ההצפנה וההגנה על מידע רפואי.

3. שותפים עסקיים של ארגוני בריאות: ספקי שירותי IT, ספקי שירותים בענן, חברות פיתוח אפליקציות רפואיות, חברות אבטחת מידע ונותני שירותים אחרים שנחשפים למידע רפואי רגיש – כל אלה צפויים להידרש להקפדה על תאימות לאמצעי אבטחה מתקדמים ולביצוע בדיקות תאימות שוטפות.

4. חברות תוכנה ומערכות מידע רפואיות, כגון מפתחי מערכות לניהול רשומות רפואיות אלקטרוניות (EHR/EMR), מערכות לניהול מרפאות וכלים רפואיים דיגיטליים אחרים. אלה יידרשו לעדכן מערכות קיימות כדי לעמוד בדרישות אבטחת מידע מחמירות ולהציע פתרונות התומכים בהצפנה ובאימות רב-שלבי.

5. חוקרים וגופי מחקר רפואי המשתמשים במידע רפואי למחקר, יידרשו לעמוד בתנאי הגנה על נתונים רגישים.

?מה כוללים העדכונים המוצעים

  • הפיכת כל מפרטי האבטחה למחייבים: עד כה, חלק מהמפרטים נחשבו ל”ניתנים ליישום”, מה שאפשר לארגונים לקבוע אם וכיצד ליישם אותם. העדכון המוצע לחוק צפוי לבטל זאת, כך שכל מפרטי האבטחה יהפכו למחייבים, למעט מספר מצומצם מאוד של חריגים. המשמעות היא שארגונים, רובם ככולם, יידרשו ליישם את כל אמצעי האבטחה המוגדרים, כמעט ללא יוצא מן הכלל.
 
  • תיעוד מדיניות ונהלים בכתב: כל ארגון יידרש על פי חוק לשמור על תיעוד מלא של כל המדיניות, הנהלים, ניתוחי הסיכונים ותוכניות ההתאוששות. תיעוד זה יכלול עדכונים שוטפים כדי לשקף שינויים בתשתיות או איומים חדשים, ויידרש לביקורת פנימית וחיצונית כאחד.
 
  • ניהול נכסי טכנולוגיה: כל ארגון יידרש ליצור רשימה מלאה של כל נכסי הטכנולוגיה, כולל מכשור רפואי, שרתים, תוכנות ואמצעי אחסון, ואף להקפיד על עדכון של אותה רשימה לפחות פעם בשנה או לאחר כל שינוי משמעותי במערכת. זאת על מנת ליצור מעין ‘מפת רשת’ שתציג את תנועת המידע הרפואי בתוך המערכות הארגוניות השונות. 
 
  • ניתוחי סיכונים שנתיים: הארגונים יידרשו לבצע ניתוח סיכונים מפורט שיכלול בין היתר את כל האיומים ונקודות התורפה האפשריות, הערכת ההשפעה והסבירות של כל איום, ומסמך שמפרט את ממצאי הניתוח והצעדים הנדרשים לתיקון.
 
  • אימות רב-שלבי: החוק צפוי לחייב כל ארגון בהטמעת תהליכי אימות רב-שלביים עבור כל גישה למידע רפואי רגיש ולמערכות קריטיות. תהליך אימות שכזה ככל הנראה יכלול לפחות שתי רמות זיהוי, כגון סיסמה, אפליקציות ייעודיות, או נתונים ביומטריים.
 
  • הצפנת מידע רפואי: כל המידע הרפואי יצטרך להיות מוצפן על פי תקנים בינלאומיים מתקדמים, וזאת בכלל המערכות הקיימות, בדגש על מכשור רפואי שמחובר לרשת.
 
  • בדיקות חדירה וסריקות פגיעות: ארגונים יחוייבו לבצע ניהול פגיעויות (Vulnerability Management) באמצעות סריקות ובדיקות שתיערכנה לפחות אחת לשישה חודשים על מנת לזהות נקודות תוקפה חדשות. ככל שיימצאו כאלה, הדרישה תהיה לבצע מעקב ותיקון בזמן אמת.
 
  • תוכניות חירום: ארגונים יידרשו לייצר תוכניות כתובות להתמודדות עם אירועי אבטחת מידע בשעת חירום. תוכניות אלה יכללו נוהלי התאוששות, שיקום ותעדוף מערכות קריטיות תוך 72 שעות, והן תיבדקנה ותתורגלנה באופן תקופתי. 
 
  • ביקורות תאימות שנתיות: הארגונים יידרשו לבצע ביקורות פנימיות שיוודאו עמידה בדרישות של התקנות החדשות. ביקורות אלה יכללו סקירה של נהלים, תשתיות ותיעוד האבטחה.

?איך להיערך לקראת השינוי

ככל שתקדימו להתכונן לקראת חיזוק אבטחת הסייבר במערכת הבריאות האמריקאית, כך תגדילו את יכולתכם לעמוד בתקנות המחמירות ביותר: 

1. בדקו את המצב הנוכחי של החברה ביחס לתקנות המוצעות וסמנו את התחומים הטעונים-שיפור.

2. השקיעו בתשתיות אבטחת מידע: הטמיעו מערכות הצפנה, מנגנוני אימות רב-שלבי וכלים לניטור סיכונים ואיומים.

3. עדכנו את הנהלים ואת אופן התיעוד: ודאו שכל מדיניות האבטחה, נהלים וניתוחי סיכונים מתועדים כראוי.

4. הכשרות לעובדים: קיימו הדרכות שוטפות בנושאי אבטחת מידע וסיכוני סייבר.

5. היערכו לביקורות תאימות: תכננו לוח זמנים מוגדר לביצוע ביקורות פנימיות וחיצוניות.

 

נסייע לכם להיערך MedDev Soft - אנחנו ב

כחלק מתהליכי אישור מכשור רפואי והבטחת תאימות לתקנות מחמירות, הרגולציה המחמירה של ה-FDA דורשת רמה גבוהה של מוכנות לאבטחת סייבר, כולל הגשת דו”חות סייבר מפורטים וביצוע הערכות סיכונים מקיפות. חברת MedDev Soft כאן כדי להוביל אתכם בתהליך.
 
אנחנו מציעים:
  • תוכניות ניהול סייבר  (Cybersecurity Management Plans)- פיתוח ויישום תוכניות אסטרטגיות לניהול אבטחת מידע וסייבר עבור המכשור הרפואי שלכם.
  • מודלים לאיומים  (Threat Modeling)- מסמכים מפורטים המציגים ניתוח שיטתי של איומים פוטנציאליים, הערכת סיכונים ופתרונות מעשיים להגנה על המוצר שלכם.
  • דו”חות סייבר –  (Cybersecurity Reports)- הכנת מסמכים המותאמים לדרישות ה-FDA תוך הקפדה על פורמט מקצועי ותואם לרגולציה.

     

להתייעצות וקבלת שירות בתחומי הרגולציה ואבטחת סייבר מוזמנים ומוזמנות ליצור קשר עם המומחים של MedDev Soft.

מאמרים קשורים

design-01_מאמר

האם מכשירים רפואיים מבוססי בינה מלאכותית באמת בטוחים לשימוש קליני?
design-02_מאמר

המעבר לבדיקות אוטומטיות: המפתח להצלחה בפיתוח תוכנה רפואית
SQA_01_main_מאמר

למה לבצע תהליך SQA בעזרת אנשי מקצוע מנוסים ולא באופן עצמאי?
post 02_מאמר

שלושה אתגרים עיקריים בהתמודדות עם רגולציה למכשור רפואי ואיך להתמודד איתם
post 01_מאמר

פיתוח תוכנה למערכות רפואיות ובריאות דיגיטלית
post 01_מאמר

תהליך פיתוח תוכנה למכשור רפואי – דגשים בתהליך הפיתוח והתייחסות לרגולציה ובקרת איכות