ヘルスケアのサイバーセキュリティを強化するHHS戦略の今後の強化策
2024年1月23日
2023年3月、米政権から「国家サイバーセキュリティー戦略」が発表されました。米国政府によって策定されたこの戦略は、リスクに対処する最適な能力を備えた組織に責任を移し、緊急の脅威から保護するため、インセンティブを戦略的に調整し、将来の長期的なビジョンに合わせることですべての人にとって安全・安心なデジタルエコシステムへの包括的なアプローチを再構築するものです。
セキュリティー脅威の影響を最も受けている業界の中で、医療業界はますます標的になっています。HIPAA Journalによると、今年328の医療機関がデータの侵害に遭っています。同様に、クラロティの2023年グローバル・ヘルスケア・サーベイ・レポートによると、回答者の78%が過去1年間に少なくとも1件のサイバーセキュリティーインシデントを経験しており、インシデントの影響を受けた組織の60%が、患者への治療提供に中程度から大きな影響があったと報告しています。その結果、医療業界はサイバーインシデントの多様性と影響を理由にサイバーセキュリティーのベストプラクティスに関する規制と業界ガイダンスを強化するように求め、場合によってはそれを必要としています。2023年春、セクション405(d): Aligning Health Care Industry Security Approaches)が更新され、より深く考慮された事項が盛り込まれました。具体的には、サイバーセキュリティー対策 9番目:ネットワークに接続された医療機器は、資産管理、エンドポイント保護、IDおよびアクセス管理、ネットワーク管理、脆弱性管理など基本的なセキュリティーのベストプラクティスに関するガイダンスを提案しています。
HHS(米国保健社会福祉省)が発表した最新のコンセプトは、405(d)におけるアップデートの勢いを引き継ぎながら、医療のサイバーセキュリティー業界の標準をレベルアップし、国家サイバーセキュリティー戦略とさらに連携する機会を提供することです。「医療業界のサイバーセキュリティー、米国保健社会福祉省の戦略の紹介」と題されたこのコンセプトペーパーには、医療機関が行動を起こすべき4つの柱が記載されており、新しい自主的な医療特有のサイバーセキュリティーパフォーマンス目標の公表、病院改善のための新支援とインセンティブ、施行と説明責任の強化そして、医療サイバーセキュリティーのワンストップショップへの成熟などが含まれます。
このリリースは概念的なものであるため、今後数ヶ月以内にさらに詳細について発表される予定です。注目すべきハイライトは以下の通りです:
1.医療サイバーセキュリティー分野の新たな目標設定: HHSは医療業界のための新たな自主目標を設定、公表します。これらの医療および公衆衛生部門特有のサイバーセキュリティーパフォーマンス目標(HPH CPGs)は、基本的なサイバーセキュリティー活動に必要な最小限の必須目標を概説するとともに、高度なサイバーセキュリティーのさらなるストレッチゴールに働きかけます
2.新たなサポートとインセンティブ:HHSは議会と協力し、サイバーセキュリティーのベストプラクティス拡大に向けて経済的支援を実施します。これには、ニーズが高くリソースの少ない医療提供者が必要不可欠なCPGを実施するのを支援するための投資プログラムや、医療システム全体で強化された CPGの実施を推進するための病院に対するインセンティブプログラムが含まれます。
3.強化と説明責任: 新しいCPGの展開により、施工可能な新しいサイバーセキュリティー基準の策定につながります。2024年春には、HIPAAセキュリティー規則が新たなサイバーセキュリティー要件を要求され、メディケアとメディケイドを通じて新たなサイバーセキュリティー要件が提案される予定です。これらは、新たに定義されたCPGが直接影響する可能性のあるの短期的な2つのアクションです。
4.プログラム成熟化へのHHS拡大: HHSは政府とのパートナーシップの強化、リソースの追加、技術支援などの新たなアプローチを通じてサイバーセキュリティーの成熟とサポートのため、頼れるリソースとなる努力を続けます。
クラロティはどのように支援するか?
医療サイバーセキュリティーにおけるこれらの新しい目標、サポート、説明責任の基準がHHSによりまとめられる中、クラロティはサポートする準備ができています。当社独自のヘルスケアソリューションであるMedigate Platformは、サイバーセキュリティープログラムのすべてのレベルをサポートするべく、幅広いセキュリティーのベストプラクティスに対応する非常に柔軟でカスタマイズ可能なソリューションを提供します。その範囲は、初期のデバイスの可視化とリスク管理の実装から、IoT、IoMT、BMSなどのすべてのサイバー物理システムにわたるネットワークのセグメンテーションと脅威検出など、より洗練されたアプローチまでにわたります。クラロティのモジュール式プラットフォームは、組織がサイバーセキュリティーの要件を満たすための目標設定と追跡をすることでプロセスの実装を可能にします。
クラロティがどのように御社の医療セキュリティージャーニーをサポートできるかについては、Medigate Platformのソリューション概要をご覧いただくか、デモをリクエストしてください。
◾️クラロティ公式製品ページ◾️