Din läkarmottagning är sårbar för hackare, men kongressen kan ändra på det

Små sjukvårdsinrättningar som läkarmottagningar är unikt sårbara för cyberattacker på grund av den känsliga informationen i deras nätverk och på grund av att många saknar resurser att försvara sig. Kongressen kan hjälpa till att ändra det genom att justera två lagar som är utformade för att förhindra olämpliga affärsarrangemang mellan läkare och sjukhus.





Det är enligt a ny rapport av Health Care Industry Cybersecurity Task Force, en grupp med 21 experter och administratörer inom den privata sektorn och myndigheterna som sammankallats av kongressen som en del av den landmärke Cybersecurity Act från 2015.

Rapporten rekommenderar bland annat att kongressen undersöker ändringar i den så kallade Physician Referral Law och Anti-Kickback-stadgan, som förhindrar läkare från att ta emot någon form av betalning från ett sjukhus eller en klinik i utbyte mot patientremisser eller andra affärer, som t.ex. labbarbete, som ersätts av federala hälsovårdsprogram inklusive Medicare och Medicaid. Enligt arbetsgruppen skulle många sjukhus vilja hjälpa mindre affärspartner att köpa cybersäkerhetsverktyg så att de inte blir ett ansvar, men är rädda för att det skulle bryta mot dessa lagar.

Hackare riktar sig vanligtvis mot vårdinrättningar, tack vare den värdefulla informationen i deras nätverk samt deras historiskt slappa säkerhetsrutiner. Anläggningar över hela världen är sårbara för attacker som WannaCry ransomware-attacken som inträffade förra månaden. Förra året inaktiverade en ransomware-attack journalsystemet på ett Los Angeles-sjukhus och tvingade det att överföra patienter någon annanstans (se Med Hospital Ransomware Infections, the Patients Are at Risk ).



En anledning till problemet, enligt arbetsgruppen, är att många mindre anläggningar helt enkelt inte har råd att behålla intern cybersäkerhetsexpertis och underhålla den nödvändiga tekniska infrastrukturen. Gruppen rekommenderar starkt att kongressen ändrar lagen om självhänvisning till läkare och lagen om anti-Kickback för att ta hänsyn till detta genom att tillåta mer cybersäkerhetsteknikdelning mellan sjukhus och deras mindre partners.

Om kongressen inte agerar kan avdelningen för hälsa och mänskliga tjänster följa nya regler som skulle göra undantag från dessa lagar. Det finns faktiskt redan en modell för detta. Regulatoriska undantag och safe harbor-bestämmelser gör det lagligt för sjukhus och kliniker att donera elektronisk journalteknik till läkarmottagningar och andra affärspartners.

Dessa undantag finns eftersom när sjukhusen började anta elektroniska journaler i mitten av 2000-talet hade många läkare som skickade patienter till dessa sjukhus inte råd att köpa interoperabel teknologi för sina kontor. Precis som idag med cybersäkerhet ville sjukhusen kunna köpa den här tekniken åt dem, säger Bernadette Broccoli , en hälsovårdsadvokat på advokatfirman McDermott Will & Emery.



Att röja vägen för sjukhus att köpa cybersäkerhetsteknik för läkarmottagningar utan hot om juridiska problem skulle bidra till att minska den totala risken, men det är bara en del av ett komplicerat pussel som beslutsfattare måste lösa för att verkligen åtgärda sjukvårdens cybersäkerhetsproblem. Medan många av reglerna som styr cybersäkerhet inom hälso- och sjukvården är välmenande och individuellt effektiva, skriver rapportens författare, kan de tillsammans lägga en betydande juridisk och teknisk börda på vårdorganisationer.

Dölj