O Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA (HHS) está propondo novos requisitos de cibersegurança para organizações de saúde, com o objetivo de proteger os dados privados dos pacientes em caso de ciberataques, segundo relatos da Reuters. As regras surgem após grandes ciberataques, como aquele que vazou as informações privadas de mais de 100 milhões de pacientes da UnitedHealth no início deste ano.
A proposta do OCR inclui a exigência de que organizações de saúde tornem a autenticação multifator obrigatória na maioria das situações, que segmentem suas redes para reduzir os riscos de intrusões se espalhando de um sistema para outro, e que criptografem os dados dos pacientes para que, mesmo que sejam roubados, não possam ser acessados. Também direcionaria grupos regulados a realizarem certas práticas de análise de risco, manter documentação de conformidade e mais.
A regra faz parte da estratégia de cibersegurança que a administração Biden anunciou no ano passado. Uma vez finalizada, ela atualizará a Regra de Segurança da Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA), que regula médicos, lares de idosos, companhias de seguros de saúde e mais, e que foi atualizada pela última vez em 2013.
A conselheira adjunta de segurança nacional dos EUA, Anne Neuberger, estimou o custo de implementação dos requisitos em “cerca de US$ 9 bilhões no primeiro ano e US$ 6 bilhões nos anos dois a cinco”, escreve a Reuters. A proposta deve ser publicada no Registro Federal em 6 de janeiro, o que dará início ao período de comentários públicos de 60 dias antes que a regra final seja definida.