Un comité clave del Senado tomó medidas para promover una legislación que revisaría las prácticas de ciberseguridad en el Departamento de Salud y Servicios Humanos.

La Ley bipartidista de Ciberseguridad y Resiliencia de la Atención Médica fue aprobada por el Comité Senatorial de Salud, Educación y Trabajo el jueves con una votación de 22 a 1, y solo el senador Rand Paul, republicano por Kentucky, se opuso.

El legislaciónpatrocinado por el presidente del comité Bill Cassidy, republicano por La., y los senadores Mark Warner, demócrata por Virginia, John Cornyn, republicano por Texas y Maggie Hassan, demócrata por NH, requeriría que el Secretario de Salud y Servicios Humanos desarrolle un plan de respuesta a incidentes de ciberseguridad para el departamento y lo presente al Congreso para su revisión.

Ordenaría al departamento que se asocie con la Agencia de Seguridad de Infraestructura y Ciberseguridad en la supervisión de la ciberseguridad en los sectores de atención médica y salud pública, crearía una guía específica de ciberseguridad para los proveedores de atención médica rurales y desarrollaría un plan para impulsar la alfabetización en ciberseguridad dentro de la fuerza laboral de atención médica.

Cassidy y otros miembros citaron el ataque de 2024 Change Healthcare como un importante impulsor de la legislación, argumentando que el incidente fue emblemático de un sector que está bajo constante asedio por parte de ciberdelincuentes, actores de ransomware y estados-nación.

“El año pasado hubo más de 730 infracciones cibernéticas que afectaron a más de 270 millones de estadounidenses. [connected to] Change Healthcare, exponiendo los datos de 190 millones de personas y retrasando el acceso a la atención”. Cassidy dijo al inicio de la audiencia.

Otra disposición designaría a la Administración de Preparación y Respuesta Estratégicas del HHS como Agencia de Gestión de Riesgos Sectoriales para los sectores de atención médica y salud pública.

A principios de este mes, un funcionario del HHS de esa oficina hablando en CyberTalks, presentado por CyberScoop, dijo que el ataque a Change Healthcare tomó por sorpresa a muchos defensores de los sectores público y privado, subrayando cómo el compromiso de un proveedor de servicios externo poco conocido concentrado en un solo sector aún puede acabar con amplios sectores de la industria.

«No era un hospital, era una empresa de la que la mayoría de la gente nunca había oído hablar y tuvo grandes impactos en nuestro sector y amenazó la liquidez de todo nuestro sistema de atención médica», dijo Charlee Hess, directora de ciberseguridad del sector de atención médica y salud pública en la división de Administración para la Preparación y Respuesta Estratégica. «Nos recuperamos de eso, pero nos dimos cuenta de que hay riesgos de terceros acechando en nuestro sistema de atención médica, y ni siquiera sabemos que están allí. ¿Dónde están esas entidades o sistemas que tendrán un impacto enorme en nuestro sector?»

El proyecto de ley actualizaría una de las principales leyes de protección de datos del sector, la Ley de Responsabilidad y Portabilidad del Seguro Médico, para garantizar que las entidades reguladas utilicen prácticas modernas de ciberseguridad. También establecería un nuevo programa de subvenciones federales para ayudar a hospitales, centros oncológicos, clínicas de salud rurales, el Servicio de Salud Indígena, centros de salud académicos y organizaciones sin fines de lucro asociadas a adoptar las mejores prácticas de ciberseguridad.

«Los ataques cibernéticos en el sector de la atención médica pueden tener una amplia gama de consecuencias devastadoras, desde exponer información médica privada hasta interrumpir la atención en las salas de emergencia, y puede ser particularmente difícil para los proveedores médicos en comunidades rurales con menos recursos prevenir y responder a estos ataques», dijo Hassan en un comunicado.