Konsultan Patologi Central Oregon telah menjalankan bisnisnya selama hampir 60 tahun, menyediakan pengujian molekuler dan layanan diagnostik lainnya di sebelah timur Cascade Range.
Mulai musim dingin lalu, dia bekerja selama beberapa bulan tanpa dibayar, hidup dari uang tunai yang sudah dia miliki
Praktik ini ditemukan setelah salah satu serangan digital paling signifikan dalam sejarah Amerika: peretasan manajer pembayaran Change Healthcare pada bulan Februari, kata manajer bisnis Julie Truswell.
COPC baru-baru ini mengetahui bahwa Change telah mulai memproses beberapa klaim yang belum terselesaikan, yang berjumlah sekitar 20.000 pada bulan Juli, namun Tracewell tidak tahu yang mana, katanya. Gerbang pembayaran pasien tetap tidak aktif, yang berarti pelanggan tidak dapat menyelesaikan rekening mereka.
“Kami memerlukan waktu berbulan-bulan untuk menghitung total kerugian selama downtime ini,” katanya.
Layanan kesehatan adalah target serangan ransomware yang paling umum: Pada tahun 2023, menurut FBI, 249 di antaranya menargetkan organisasi kesehatan – jumlah terbanyak dibandingkan sektor lainnya.
Para eksekutif kesehatan, pengacara, dan anggota Kongres khawatir bahwa respons pemerintah federal lemah, kekurangan dana, dan terlalu terfokus pada perlindungan rumah sakit – bahkan ketika perubahan membuktikan bahwa kerentanan tersebar luas.
“Pendekatan Departemen Kesehatan dan Layanan Kemanusiaan saat ini terhadap keamanan siber layanan kesehatan – pengaturan mandiri dan praktik terbaik sukarela – sangat tidak memadai dan membuat sistem layanan kesehatan rentan terhadap penjahat dan peretas pemerintah asing,” kata senator tersebut. Ron Wyden (D-Ore.), ketua Komite Keuangan Senat, menulis dalam suratnya baru-baru ini kepada badan tersebut.
Uangnya tidak ada, kata Mark Montgomery, direktur senior di Pusat Inovasi Siber dan Teknologi Yayasan Pertahanan Demokrasi. “Kami telah melihat upaya yang sangat meningkat dan hampir tidak ada” untuk berinvestasi lebih banyak di bidang keamanan, katanya.
Misi ini sangat mendesak, karena tahun 2024 merupakan tahun yang penuh dengan terobosan dalam bidang kesehatan. Ratusan rumah sakit di Tenggara menghadapi gangguan dalam kemampuan mereka memperoleh darah untuk transfusi setelah organisasi nirlaba OneBlood, sebuah layanan donasi, menjadi korban serangan ransomware.
Serangan siber mempersulit tugas-tugas biasa dan kompleks, kata Nate Couture, kepala petugas keamanan informasi di University of Vermont Health Network, yang terkena serangan ransomware pada tahun 2020. “Kami tidak bisa mencampurkan campuran kemoterapi dengan mata telanjang,” tambahnya. mengacu pada pengobatan kanker, pada sebuah acara pada bulan Juni di Washington, D.C
Pada bulan Desember, Departemen Kesehatan dan Layanan Kemanusiaan mengembangkan strategi keamanan siber yang bertujuan mendukung sektor ini. Banyak dari usulan tersebut berfokus pada rumah sakit, termasuk program wortel dan tongkat untuk memberi penghargaan kepada penyedia layanan yang menerapkan praktik keamanan “dasar” tertentu dan memberikan sanksi kepada mereka yang tidak menerapkannya.
Bahkan fokus sempit tersebut bisa memakan waktu bertahun-tahun untuk dicapai: Berdasarkan usulan anggaran departemen, dana akan mulai mengalir ke rumah sakit yang “berkebutuhan tinggi” pada tahun fiskal 2027.
Ileana Peters, mantan pengacara penegakan hukum di Kantor Hak Sipil Departemen Kesehatan dan Layanan Kemanusiaan, mengatakan dalam sebuah wawancara bahwa fokus pada rumah sakit “tidak pantas.” “Pemerintah federal perlu bergerak maju” dengan juga berinvestasi pada organisasi yang memasok dan membuat kontrak dengan penyedia, katanya.
Ketertarikan departemen ini dalam melindungi kesehatan dan keselamatan pasien “menempatkan rumah sakit di urutan teratas dalam daftar mitra prioritas kami,” kata Brian Mazanek, wakil direktur Departemen Kesiapsiagaan dan Respons Strategis di Departemen Kesehatan dan Layanan Kemanusiaan, dalam sebuah wawancara.
Tanggung jawab atas keamanan siber kesehatan di negara ini dipikul oleh tiga kantor di dua lembaga berbeda. Kantor Hak Sipil Departemen Kesehatan adalah petugas polisi yang memantau apakah rumah sakit dan kelompok kesehatan lainnya memiliki pertahanan yang memadai untuk melindungi privasi pasien dan, jika tidak, apakah mereka cenderung melindungi mereka.
Kantor Kesiapsiagaan Departemen Kesehatan dan Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri membantu membangun pertahanan – seperti mewajibkan pengembang perangkat lunak medis untuk menggunakan teknologi audit untuk memverifikasi keamanan mereka.
Kedua lembaga tersebut diharuskan untuk membuat daftar “entitas yang penting secara sistemis” yang kegiatan operasionalnya sangat penting agar sistem kesehatan dapat berfungsi dengan baik. Entitas-entitas ini dapat menerima perhatian khusus, seperti dimasukkan dalam pengarahan ancaman pemerintah, kata Josh Corman, salah satu pendiri kelompok advokasi dunia maya I Am The Cavalry, dalam sebuah wawancara.
Pejabat federal sedang mengerjakan daftar tersebut ketika berita tentang peretasan Change tersebar, namun Change Healthcare tidak ada dalam daftar tersebut, kata Jane Easterly, kepala badan keamanan siber Homeland Security, pada sebuah acara di bulan Maret.
Nitin Natarajan, wakil direktur badan keamanan siber, mengatakan kepada KFF Health News bahwa daftar tersebut hanyalah rancangan. Badan tersebut sebelumnya memperkirakan akan menyelesaikan daftar entitas – lintas sektor – pada bulan September lalu.
Kantor Kesiapsiagaan Departemen Kesehatan seharusnya berkoordinasi dengan badan keamanan siber Homeland Security dan melalui Departemen Kesehatan, namun staf kongres mengatakan upaya kantor tersebut tidak cukup. Ada “silo keunggulan” di Departemen Kesehatan dan Layanan Kemanusiaan, “di mana tim tidak berbicara satu sama lain; [where it] “Tidak jelas siapa yang harus dituju,” kata Matt McMurray, kepala staf anggota parlemen dari Partai Republik. Robin Kelly (D-Ill.) di sebuah konvensi pada bulan Juni.
Apakah Kantor Kesiapsiagaan Departemen Kesehatan merupakan “tempat yang tepat untuk keamanan siber?” “Saya tidak yakin,” katanya.
Secara historis, kantor ini berfokus pada bencana fisik – gempa bumi, angin topan, serangan antraks, dan pandemi. Chris Mickens, yang bekerja di Kantor Kesiapsiagaan di bawah Trump dan sekarang menjadi analis di bank investasi Raymond James, mengatakan perusahaan tersebut mewarisi keamanan siber ketika kepemimpinan departemen di bawah Trump menyita lebih banyak uang dan kekuasaan.
Namun sejak itu, kata Mickens, lembaga tersebut telah menunjukkan bahwa mereka “tidak memenuhi syarat untuk melakukan hal tersebut.” Tidak ada pendanaan, tidak ada partisipasi, tidak ada keahlian di sana.
Kantor Kesiapsiagaan hanya memiliki “segelintir” staf yang fokus pada keamanan siber, kata Annie Veksler, direktur Pusat Inovasi Siber dan Teknologi FDD. Mazanek mengakui jumlah tersebut tidak banyak namun berharap dana tambahan akan memungkinkan lebih banyak staf untuk dipekerjakan.
Kantor lambat menanggapi komentar dari luar. Ketika salah satu lembaga clearing ancaman siber mencoba berkoordinasi dengan mereka untuk menciptakan proses respons terhadap insiden, “mungkin diperlukan waktu tiga tahun untuk mengidentifikasi siapa saja yang bersedia mendukung” upaya tersebut, kata Jim Roth, yang saat itu menjabat sebagai ketua Health Information Sharing Group. Pusat Analisis.
Selama serangan NotPetya pada tahun 2017 – peretasan yang menyebabkan kerusakan signifikan pada rumah sakit dan perusahaan farmasi Merck – Health-ISAC akhirnya menyebarkan informasi kepada anggotanya sendiri, termasuk cara terbaik untuk menahan serangan tersebut, kata Roth.
Para pendukung melihat peretasan perubahan – yang dikatakan disebabkan oleh kurangnya otentikasi multi-faktor, sebuah teknologi yang sangat familiar di tempat kerja Amerika – dan mengatakan Departemen Kesehatan dan Layanan Kemanusiaan perlu menggunakan mandat dan insentif untuk mendapatkan sektor layanan kesehatan untuk mengadopsi pertahanan yang lebih baik. Strategi kementerian yang dirilis pada bulan Desember mengusulkan daftar target yang relatif terbatas untuk sektor layanan kesehatan, yang sebagian besar bersifat sukarela pada tahap ini. Mazanek mengatakan badan tersebut sedang “menjajaki” pembuatan standar-standar yang “baru dan dapat ditegakkan”.
Sebagian besar strategi Departemen Kesehatan dan Layanan Kemanusiaan dijadwalkan akan diterapkan dalam beberapa bulan mendatang. Kementerian telah meminta lebih banyak dana. Misalnya, Office of Preparedness menginginkan tambahan $12 juta untuk keamanan siber. Kantor Hak-Hak Sipil, dengan anggaran yang tetap dan staf penegak hukum yang menyusut, dijadwalkan untuk mengeluarkan pembaruan terhadap aturan privasi dan keamanannya.
“Masih ada tantangan besar yang dihadapi industri secara keseluruhan,” kata Roth. “Saya tidak melihat apa pun yang akan mengubah hal itu.”
KFF Health News adalah ruang redaksi nasional yang menghasilkan jurnalisme mendalam mengenai isu-isu kesehatan dan merupakan salah satu program operasi inti KFF – sumber independen untuk penelitian, jajak pendapat, dan jurnalisme kebijakan kesehatan.
©2024 Berita Kesehatan KFF. Didistribusikan oleh Tribune Content Agency, LLC.