Konsultan Patologi Central Oregon telah menjalankan bisnisnya selama hampir 60 tahun, menyediakan pengujian molekuler dan layanan diagnostik lainnya di sebelah timur Pegunungan Cascade.
Mulai musim dingin yang lalu, mereka hidup tanpa upah selama beberapa bulan dan bertahan hidup dengan uang tunai,
kata manajer praktik Julie Tracewell. Pendekatan ini dilakukan setelah salah satu serangan digital paling signifikan dalam sejarah AS: peretasan perusahaan manajemen pembayaran Change Healthcare pada bulan Februari.
COPC baru-baru ini mengetahui bahwa Change telah mulai memproses beberapa klaim yang belum terselesaikan, yang berjumlah sekitar 20.000 pada bulan Juli, namun Tracewell tidak mengetahui klaim mana yang merupakan klaim tersebut, katanya. Portal pembayaran pasien tetap ditutup, artinya pelanggan tidak dapat melunasi rekeningnya.
“Diperlukan waktu beberapa bulan untuk menghitung total biaya pemadaman ini,” katanya.
Layanan kesehatan adalah target serangan ransomware yang paling umum: FBI mengatakan ada 249 serangan ransomware yang menargetkan organisasi layanan kesehatan pada tahun 2023, jumlah terbanyak dibandingkan industri mana pun.
Para pemimpin bidang kesehatan, pengacara, dan anggota Kongres khawatir bahwa respons federal tidak berdaya, kekurangan dana, dan terlalu terfokus pada perlindungan rumah sakit – bahkan ketika perubahan menunjukkan bahwa kelemahan ini tersebar luas.
Senator Ron Wyden, D-Ore., mengatakan “pendekatan Departemen Kesehatan dan Layanan Kemanusiaan saat ini terhadap keamanan siber layanan kesehatan – pengaturan mandiri dan praktik terbaik sukarela – sangat tidak memadai, membuat sistem layanan kesehatan rentan terhadap serangan penjahat dan pihak asing. peretas pemerintah.”
Mark Montgomery, direktur senior Pusat Inovasi Siber dan Teknologi di Yayasan Pertahanan Demokrasi, mengatakan dana tersebut tidak ada. “Kami telah melihat upaya besar, bahkan hampir tidak ada, untuk berinvestasi lebih banyak di bidang keamanan,” katanya.
Misi ini mendesak—2024 adalah tahun terjadinya peretasan layanan kesehatan. Kemampuan ratusan rumah sakit di Tenggara untuk mendapatkan darah untuk transfusi terganggu setelah organisasi nirlaba OneBlood menjadi korban serangan ransomware.
Nate Couture, kepala petugas keamanan informasi di Jaringan Kesehatan Universitas Vermont, mengatakan serangan siber membuat tugas-tugas sehari-hari dan kompleks menjadi lebih rumit. Koktail kemoterapi,” katanya, berbicara tentang pengobatan kanker di sebuah acara di Washington, D.C., pada bulan Juni.
Pada bulan Desember, Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS meluncurkan strategi keamanan siber yang dirancang untuk mendukung industri ini. Beberapa usulan ditujukan terutama pada rumah sakit, termasuk program wortel dan tongkat yang akan memberikan penghargaan kepada penyedia layanan yang mengambil tindakan keselamatan tertentu dan memberikan sanksi kepada mereka yang tidak melakukan tindakan tersebut.
Bahkan fokus sempit tersebut mungkin memerlukan waktu bertahun-tahun untuk terwujud: Dana akan mulai mengalir ke rumah sakit yang “berkebutuhan tinggi” pada tahun fiskal 2027, menurut proposal anggaran departemen tersebut.
Ileana Peters, mantan pengacara penegak hukum di Kantor Hak Sipil Departemen Kesehatan dan Layanan Kemanusiaan AS, mengatakan dalam sebuah wawancara bahwa fokus pada rumah sakit “tidak pantas.” “Pemerintah federal perlu melangkah lebih jauh” dan juga berinvestasi pada pasokan dan organisasi yang melakukan kontrak dengan pemasok, katanya.
Brian Mazanek, wakil administrator Administrasi Kesiapsiagaan dan Respons Strategis Departemen Kesehatan dan Layanan Kemanusiaan AS, mengatakan dalam sebuah wawancara bahwa kepentingan departemen tersebut dalam melindungi kesehatan dan keselamatan pasien “benar-benar menempatkan rumah sakit di urutan teratas daftar mitra prioritas kami.” .
Tanggung jawab atas keamanan siber kesehatan nasional ditanggung bersama oleh tiga kantor dalam dua lembaga berbeda. Kantor Hak Sipil di departemen kesehatan bertindak seperti petugas polisi yang sedang berpatroli, memantau apakah rumah sakit dan organisasi kesehatan lainnya memiliki perlindungan yang memadai terhadap privasi pasien dan berpotensi mendenda mereka jika tidak melakukannya.
Kantor Kesiapsiagaan Departemen Kesehatan dan Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri membantu membangun pertahanan, seperti mewajibkan pengembang perangkat lunak medis menggunakan teknologi audit untuk memeriksa keamanan mereka.
Hal terakhir ini memerlukan pembuatan daftar “entitas yang penting secara sistemis” yang operasinya sangat penting bagi kelancaran fungsi sistem kesehatan. Josh Corman, salah satu pendiri kelompok advokasi online I Am The Cavalry, mengatakan dalam sebuah wawancara bahwa entitas-entitas ini mungkin mendapat perhatian khusus, seperti diikutsertakan dalam pengarahan ancaman pemerintah.
Jen Easterly, kepala badan keamanan siber Departemen Keamanan Dalam Negeri, mengatakan pada acara bulan Maret bahwa pejabat federal telah mengembangkan daftar tersebut ketika berita tentang peretasan Change tersebar, namun Change Healthcare tidak ada dalam daftar.
Nitin Natarajan, wakil direktur badan keamanan siber, mengatakan kepada KFF Health News bahwa daftar tersebut hanyalah rancangan. Badan tersebut memperkirakan akan menyelesaikan daftar entitas lintas industri pada September lalu.
Kantor Kesiapsiagaan Departemen Kesehatan seharusnya berkoordinasi dengan badan keamanan siber Departemen Keamanan Dalam Negeri dan departemen kesehatan secara keseluruhan, namun staf kongres mengatakan upaya tersebut tidak cukup. HHS memiliki “silo keunggulan” di mana “tim tidak berbicara satu sama lain; [where it] Tidak jelas siapa yang harus dituju,” kata Matt McMurray, kepala staf Rep. Robin Kelly (D-Ill.), pada pertemuan di bulan Juni.
Apakah kantor kesiapsiagaan departemen kesehatan merupakan “tempat yang tepat untuk keamanan dunia maya? Saya tidak yakin,” katanya.
Secara historis, kantor ini berfokus pada bencana dunia nyata – gempa bumi, angin topan, serangan antraks, dan epidemi. Chris Meekins, yang bekerja di kantor kesiapan di bawah Trump dan sekarang menjadi analis di bank investasi Raymond James, mengatakan bahwa ketika para pemimpin departemen di era Trump mendorong lebih banyak pendanaan dan kekuasaan, mereka mewarisi keamanan siber.
Namun sejak itu, badan tersebut telah menunjukkan bahwa mereka “tidak memenuhi syarat untuk melakukan hal tersebut,” kata Meekins. Tidak ada pendanaan, tidak ada keterlibatan, tidak ada keahlian.
Annie Fixler, direktur Pusat Inovasi Siber dan Teknologi FDD, mengatakan hanya “sebagian kecil” staf di Kantor Kesiapsiagaan yang fokus pada keamanan siber. Masanek mengakui jumlahnya tidak banyak, namun berharap dana tambahan akan memungkinkan lebih banyak karyawan untuk dipekerjakan.
Kantor lambat dalam menanggapi masukan dari luar. Jim Routh, presiden dewan kelompok berbagi informasi kesehatan saat itu, mengatakan bahwa ketika Cyber Threat Industry Information Clearinghouse mencoba berkoordinasi dengannya untuk menciptakan proses respons terhadap insiden, “mungkin diperlukan waktu tiga tahun untuk menemukan seseorang yang bersedia mendukung” usaha.
Routh mengatakan bahwa selama serangan NotPetya pada tahun 2017, sebuah peretasan yang menyebabkan kerusakan signifikan pada rumah sakit dan produsen obat Merck & Co., Health-ISAC akhirnya menyebarkan informasi kepada anggotanya, termasuk cara terbaik untuk menahan serangan tersebut.
Para pendukung fokus pada peretasan Perubahan – yang dilaporkan disebabkan oleh kurangnya autentikasi multi-faktor, sebuah teknologi yang umum digunakan di tempat kerja di AS – dan mengatakan HHS perlu memanfaatkan mandat dan insentif untuk membuat Departemen layanan kesehatan mengambil tindakan defensif yang lebih baik. Strategi departemen yang diterbitkan pada bulan Desember menetapkan daftar target yang relatif terbatas untuk sektor layanan kesehatan, yang saat ini sebagian besar bersifat sukarela. Masanek mengatakan badan tersebut sedang “menjajaki” pengembangan standar-standar “baru yang dapat ditegakkan”.
Sebagian besar strategi HHS akan diterapkan dalam beberapa bulan mendatang. Departemen telah meminta lebih banyak dana. Misalnya, Office of Preparation membutuhkan tambahan $12 juta untuk keamanan siber. Kantor Hak Sipil, yang anggarannya tidak berubah dan staf penegak hukumnya berkurang, akan mengeluarkan pembaruan mengenai aturan privasi dan keamanan.
“Industri secara keseluruhan masih menghadapi tantangan yang signifikan,” kata Rouse. “Saya rasa tidak ada apa pun yang terjadi di masa depan yang akan mengubah hal tersebut.”
KFF Health News adalah ruang redaksi nasional yang menghasilkan jurnalisme mendalam mengenai isu-isu kesehatan dan merupakan salah satu program operasi inti KFF – sumber penelitian, jajak pendapat, dan berita kebijakan kesehatan yang independen.
©2024 Berita Kesehatan KFF. Didistribusikan oleh Tribune Content Agency, LLC.