Among the numerous acronyms in the healthcare industry, one of the most commonly mentioned is HIPAA.
Towards the end of last year, the Department of Health and Human Services put forth significant updates to this law, known as the Health Insurance Portability and Accountability Act, marking the first time in over ten years.
The purpose of the proposal by HHS is to enhance the protection of the U.S. healthcare system against the increasing threat of cyberattacks. This move followed a year that saw several high-profile cybersecurity incidents in the healthcare sector, including ransomware attacks on Change Healthcare and Ascension, which resulted in the exposure of millions of patient records.
The proposed changes aim to bolster cybersecurity protocols for electronic health data by standardizing specific security processes among providers. HHS is seeking feedback on its proposal until March 7.
Healthcare cybersecurity leaders generally support the proposed changes, as they will compel providers to address long-standing weaknesses in their data infrastructure and security readiness. However, experts warn that smaller providers may struggle with the financial and operational challenges of compliance.
HHS is seeking to implement several changes to how providers handle health data under HIPAA, with a primary focus on eliminating the distinction between “required” and “addressable” implementation specifications. This would make all cybersecurity rules mandatory for healthcare organizations and emphasize the need for comprehensive security measures across all health data.
If enforced, these changes would promote consistency among providers and encourage adherence to shared cybersecurity standards. However, some of the proposed changes may prove challenging for certain providers to implement, particularly regarding the requirement for detailed written documentation of cybersecurity policies and procedures.
The new documentation requirements are intended to help providers map out how their data is stored and transferred effectively. This shift reflects the increasing importance of data in healthcare, yet many organizations lack a comprehensive understanding of their data infrastructure.
In light of last year’s record-breaking healthcare data breaches, providers are increasingly aware of the need to enhance their cybersecurity defenses. To meet the new requirements, providers may need to collaborate with tech companies that specialize in data management and security.
While larger organizations may already have the resources and expertise to adapt to the changes, smaller healthcare providers could face a longer adjustment period. It is essential for providers to understand where their data is located and how it can be leveraged effectively to turn data into an asset rather than a liability. En su opinión, los proveedores más pequeños ciertamente enfrentarán una carga mayor cuando se trata de cumplir con estas nuevas regulaciones.
¿Qué pasa con el costo del cumplimiento?
Las organizaciones proveedoras más pequeñas que mencionó Neiderhiser a menudo operan con márgenes ajustados, lo que significa que podría ser una lucha encontrar el efectivo para pagar a una empresa tecnológica para manejar sus funciones de cumplimiento de ciberseguridad.
Otro experto en ciberseguridad, Sean Kelly, director médico de la empresa de seguridad en TI de salud Imprivata, señaló que está preocupado por el costo del cumplimiento.
“Es difícil simplemente presentar mandatos sin financiamiento, y es realmente difícil, sin ningún tipo de financiamiento o incentivación, simplemente poner penalidades frente a sistemas hospitalarios que ya tienen presupuestos limitados, especialmente cuando se trata de hospitales de acceso a cuidados críticos y prácticas rurales”, declaró Kelly.
Si se implementan los cambios propuestos a HIPAA, Kelly dijo que espera que el gobierno federal establezca un sistema en el cual los hospitales con menos recursos puedan calificar para recibir dinero de subvenciones o “algún tipo de incentivación” para el cumplimiento. Por ejemplo, quizás estos hospitales podrían obtener pagos de Medicare más rápidamente como incentivo, afirmó.
También señaló que si el Congreso realizara un análisis del costo de las brechas de ciberseguridad versus el costo de un fondo de dinero destinado a medidas de ciberseguridad preventivas en hospitales, descubriría que las brechas son mucho más costosas.
“El costo de estas brechas es enorme, no solo para los hospitales y los pacientes que pasan por ella, sino incluso para los hospitales locales a su alrededor. Cuando un hospital cierra, las ambulancias van a otro lugar y los pacientes son atendidos en otro lugar. Hay pruebas innecesarias, morbilidad, mortalidad, demandas y costos asociados con el área local alrededor de un hospital que cierra”, explicó Kelly.
En 2024, el costo promedio de una brecha de datos de atención médica fue de $9.77 millones, según investigaciones de IBM.
¿Cuáles son los riesgos potenciales de estos cambios?
Los cambios propuestos por HHS a HIPAA pueden afectar negativamente los flujos de trabajo de los clínicos en ocasiones, señaló Kelly.
Si un proveedor no ejecuta perfectamente la capacitación en ciberseguridad de su personal, los empleados podrían fallar en las pruebas de autenticación multifactor o encontrarse con otros contratiempos que los bloqueen de sus sistemas, señaló. En otras palabras, si algún aspecto pequeño de la capacitación es insuficiente, como que la capacitación no ocurra lo suficientemente rápido para los nuevos empleados o no sea lo suficientemente detallada, hay riesgos de que los miembros del personal no puedan acceder a información crítica.
“Eso significa que no pueden acceder a sistemas para hacer cosas como buscar registros médicos, y no tienen la interoperabilidad entre diferentes conjuntos de registros para diagnosticar y tratar adecuadamente a los pacientes”, agregó Kelly.
Quedarse bloqueado de una cuenta debido a protocolos de ciberseguridad puede ser molesto como consumidor, pero es una situación completamente diferente como clínico, explicó.
“Si estoy bloqueado como médico de emergencias, entonces no puedo ver sus registros. No sé que está tomando un anticoagulante y no puedo pedir la TC para mostrarme que tiene una hemorragia intracraneal. No puedo tratarlo adecuadamente por un derrame cerebral o por cualesquiera que sean sus síntomas, por lo que hay consecuencias muy reales para los aspectos de flujo de trabajo de seguridad”, declaró Kelly.
También resaltó que es bastante difícil asegurarse de que todos los empleados de todo un sistema de salud reciban una capacitación adecuada en ciberseguridad. Los hospitales son entornos complejos con miles de trabajadores en diversos roles, y a veces los miembros del personal ni siquiera son empleados directamente por el proveedor, dijo Kelly.
Hay formas potenciales de abordar esto, como métodos de inicio de sesión único, afirmó.
El inicio de sesión único es un método de autenticación que permite a las personas acceder a múltiples aplicaciones o sistemas con un solo conjunto de credenciales, como un nombre de usuario y una contraseña. Por ejemplo, un hospital puede dar a los clínicos una insignia que pueden tocar como un token de inicio de sesión único para facilitar los inicios de sesión, explicó Kelly.
“Puedes usar dos factores una vez al día, pero luego durante el resto del día, puedes tocar para entrar y salir. Hay formas de automatizar el flujo de trabajo para que sea más rápido acceder a los registros médicos”, comentó.
Los hospitales también pueden utilizar el reconocimiento facial como una clave de inicio de sesión único diario para los clínicos, agregó Kelly.
La gestión de proveedores se convertirá en una mayor prioridad
A través de su propuesta, HHS busca asegurar que los proveedores tengan un buen entendimiento de todas las diferentes formas en que se utiliza y se transfiere sus datos, y tener esta vista clara probablemente influirá en la selección de proveedores de los proveedores para sus diversas herramientas y dispositivos, señaló Kelly.
El concepto de riesgo de terceros se destacó en la mente de muchos líderes de la atención médica el año pasado debido a la brecha de datos de Change Healthcare, dijo. Change Healthcare puede haber sido la única entidad afectada por un ataque de ransomware, pero sus miles de clientes sufrieron las consecuencias operativas y financieras del incidente durante meses.
Este desastre subrayó los riesgos a los que se enfrentan los proveedores de atención médica al depender de socios externos. Los proveedores de atención médica nunca podrán mantener sus operaciones diarias sin su red de socios proveedores, por lo que es imperativo que dominen su gestión de proveedores y estrategias de protección de datos, señaló Kelly. La legislación propuesta por HHS inyecta cierta urgencia en estos esfuerzos, dijo.
“Debe haber una evaluación de riesgos antes de que los proveedores seleccionen a los proveedores. Más allá de eso, los proveedores deben asegurarse de que [los proveedores] cumplan y que cada acción tomada por esos terceros sea segura”, afirmó Kelly.
Este mayor énfasis en la gestión de proveedores puede llevar en última instancia a menos registros vulnerados en el futuro, señaló.
Kelly, junto con Neiderhiser y Rao, cree que a pesar de los posibles costos y preocupaciones de flujo de trabajo, la propuesta de HHS es un paso en la dirección correcta, ya que los cambios buscan destacar la importancia de la gestión de proveedores de terceros y la capacitación integral del personal en ciberseguridad. Los tres expertos están de acuerdo en que es probable que los cambios propuestos se finalicen en un futuro cercano.
Foto: traffic_analyzer, Getty Images