Senator Nevada dari Demokrat Jacky Rosen dan Senator Louisiana dari Partai Republik Bill Cassidy memperkenalkan undang-undang bipartisan Rabu malam yang ditujukan untuk melindungi rumah sakit dan sektor perawatan kesehatan dari potensi serangan siber Rusia.
Undang-undang Keamanan Siber Kesehatan akan mengarahkan Badan Keamanan Siber dan Keamanan Infrastruktur untuk bekerja dengan Departemen Kesehatan dan Layanan Kemanusiaan untuk memperkuat keamanan siber di sektor perawatan kesehatan dan kesehatan masyarakat, menurut kantor Rosen.
“Rumah sakit dan pusat kesehatan adalah bagian dari infrastruktur penting kami dan semakin menjadi target serangan siber jahat, yang dapat menyebabkan pelanggaran data, peningkatan biaya perawatan, dan hasil kesehatan pasien yang negatif,” kata Rosen dalam sebuah pernyataan. “RUU bipartisan ini akan membantu memperkuat perlindungan keamanan siber dan melindungi kehidupan.”
Pengenalan RUU itu muncul setelah Presiden Joe Biden dan pemerintahannya awal pekan ini mendesak perusahaan-perusahaan Amerika untuk mengambil tindakan segera untuk memperkuat pertahanan dunia maya mereka “berdasarkan pengembangan intelijen bahwa pemerintah Rusia sedang menjajaki opsi untuk potensi serangan dunia maya.” Menurut analisis baru POLITICO terhadap data Kesehatan dan Layanan Kemanusiaan, hampir 50 juta orang di AS mengalami pelanggaran data kesehatan sensitif mereka pada tahun 2021, peningkatan tiga kali lipat hanya dalam tiga tahun terakhir.
Selain membutuhkan kerja sama antara badan-badan federal, undang-undang tersebut akan mengesahkan pelatihan keamanan siber untuk perawatan kesehatan dan entitas perawatan kesehatan masyarakat tentang risiko keamanan siber dan cara-cara untuk memitigasinya.
Badan Keamanan Siber dan Keamanan Infrastruktur juga akan diminta untuk melakukan studi terperinci tentang risiko spesifik dan dampaknya, tantangan dalam memperbarui sistem informasi, dan kekurangan tenaga kerja keamanan siber.
RUU itu tidak mengesahkan dana tambahan untuk menerapkan langkah-langkah ini, kata Joe Bush, sekretaris pers Rosen.
Rumah sakit ‘diserang selama bertahun-tahun’
Serangan dunia maya di rumah sakit, termasuk di Nevada Selatan, bukanlah hal baru.
“Sementara perang di Ukraina mungkin telah meningkatkan tingkat ancaman, faktanya rumah sakit kami telah diserang selama bertahun-tahun,” kata Brett Callow, analis ancaman untuk perusahaan keamanan siber Emsisoft. “Dan mereka terus diserang, dengan setidaknya empat sudah terkena ransomware tahun ini.”
Dia mengatakan bahwa rumah sakit harus mengidentifikasi area di mana mereka mungkin belum menerapkan praktik terbaik dan mengambil tindakan korektif sesegera mungkin.
“Kecuali kita menemukan cara untuk meningkatkan keamanan di sektor perawatan kesehatan, hanya masalah waktu sebelum serangan merenggut nyawa seseorang. Bahkan, itu mungkin sudah terjadi,” kata Callow melalui email.
Dia menunjuk ke gugatan yang menyatakan bahwa serangan ransomware 2019 di Pusat Medis Springhill yang berbasis di Mobile, Alabama mengakibatkan kematian seorang bayi.
Fasilitas tersebut mematikan jaringannya selama hampir delapan hari karena serangan ransomware. Catatan pasien tidak dapat diakses, dan staf medis terputus dari peralatan yang digunakan untuk memantau detak jantung janin, menurut Wall Street Journal.
Gugatan diajukan oleh ibu dari seorang bayi perempuan yang lahir dengan tali pusar melilit di lehernya, memutus suplai darah dan oksigen. Biasanya, kondisi tersebut menyebabkan tanda peringatan pada monitor jantung.
Bayi itu menderita kerusakan otak yang parah dan meninggal sembilan bulan kemudian.
Serangan dunia maya di rumah sakit setempat
Undang-undang tersebut disambut baik oleh Mason Van Houweling, CEO University Medical Center di pusat Las Vegas.
“Sebagai korban serangan keamanan dunia maya baru-baru ini, kami memahami pentingnya bekerja sama dengan berbagai lembaga untuk melindungi informasi berharga melalui pendidikan, mitigasi, dan sumber daya tambahan,” katanya.
Pada Juni tahun lalu, UMC mengonfirmasi pelanggaran data kriminal setelah grup peretas terkenal mulai memposting informasi pribadi yang diduga diperoleh dalam serangan dunia maya.
UMC mengakui bahwa penjahat dunia maya memiliki akses ke server yang digunakan untuk menyimpan data, termasuk informasi kesehatan yang dilindungi.
Universal Health Services, yang mengoperasikan rumah sakit Valley Health System di Southern Nevada, mengatakan telah mematikan jaringan komputernya di seluruh AS setelah serangan dunia maya pada 27 September 2020. Butuh waktu dua minggu sebelum jaringan komputer dipulihkan.
“Pusat kesehatan menyelamatkan nyawa dan menyimpan banyak informasi pribadi yang sensitif. Itu membuat mereka menjadi target utama serangan siber,” kata Cassidy, senator Louisiana dan seorang dokter. “RUU ini melindungi data pasien dan kesehatan masyarakat dengan memperkuat ketahanan kita terhadap perang dunia maya.”
Versi sebelumnya dari cerita ini salah mengatakan bahwa RUU itu akan diperkenalkan pada hari Kamis.
Hubungi Mary Hynes di mhynes@reviewjournal.com atau 702-383-0336. Mengikuti @MaryHynes1 di Twitter.