Sağlık Hizmetleri, Sektöre Özel, Standartlar, Yönetmelikler ve Uyumluluk
Girişim, AB Üyesi Hastanelerin ve Sağlık Hizmeti Sağlayıcılarının Güvenliğini Artırmayı Amaçlıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Ocak 2025
Siber saldırganlar, Avrupa’daki diğer sektörlerden daha fazla sağlık hizmetini hedef alıyor ve bu artan tehdit dalgasıyla mücadele etmek için Avrupa Komisyonu, Avrupa Birliği’ndeki hastanelerin ve diğer sağlık hizmeti sağlayıcılarının siber güvenliğini güçlendirmeye yönelik yeni bir “eylem planı” yayınladı.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Plan, AB’nin sağlık sektörüne siber rehberlik materyalleri ve diğer kaynakları içeren bir depo sunan “pan-Avrupa” bir siber güvenlik destek merkezinin oluşturulmasını içeriyor.
Komisyon, geçen hafta açıklanan eylem planının, AB sağlık sektörünün siber tehditlerden, özellikle de yıkıcı fidye yazılımı saldırılarından ve veri hırsızlığından korunmasına yardımcı olmayı amaçladığını söyledi.
Komisyon, “Üye devletler, 2023 yılında sağlık sektörünü etkileyen 309 önemli siber güvenlik olayı bildirdi; bu sayı diğer tüm kritik sektörlerden daha fazla” dedi. Eylem planı aynı zamanda komisyonun AB siber güvenlik önlemlerinin “tüm kapsamını” uygulayan ilk sektöre özel girişimidir.
Komisyon, planın teklifleri hakkında geri bildirim toplamak ve önümüzdeki iki yıl içinde “aşamalı olarak” uygulamaya konulacak eylem planının iyileştirilmesi konusunda 2025’in dördüncü çeyreğinde önerilerde bulunmak için AB üye ülkeleri ve “ilgili ağlar” ile işbirliği yapacağını söyledi. .
Komisyon, eylem planının dört önceliğe odaklandığını belirtti. Bunlar şunları içerir:
- Gelişmiş önleme: Kuruluşlara kritik siber güvenlik uygulamalarının uygulanması konusunda rehberlik sağlanması, üye devletlerin küçük ve orta ölçekli hastanelere ve sağlık hizmeti sağlayıcılarına mali yardım için “siber güvenlik kuponları” sağlaması ve sağlık uzmanları için siber eğitim kaynakları sağlanması.
- Tehditlerin daha iyi tespit edilmesi ve tanımlanması: Xybersecurity destek merkezi, 2026 yılına kadar hastanelere ve sağlık hizmeti sağlayıcılarına yönelik potansiyel siber tehditler hakkında neredeyse gerçek zamanlı uyarılar sağlayan AB çapında bir erken uyarı hizmeti geliştirecek.
- Etkiyi en aza indirmek için siber saldırılara yanıt: Siber Dayanışma Yasası ile oluşturulan AB Siber Güvenlik Rezervi kapsamında sağlık sektörüne yönelik hızlı yanıt hizmeti. Plan, fidye yazılımı da dahil olmak üzere belirli tehditlere nasıl yanıt verileceği konusunda sağlık kuruluşlarının siber güvenlik tatbikatlarına katılmalarına yönelik taktik kitapları ve rehberlik içeriyor.
- Caydırıcılık: Kötü niyetli siber faaliyetlere karşı AB’nin ortak diplomatik tepkisi olan “Siber Diplomasi Araç Kutusu” gibi önlemler yoluyla siber tehdit aktörlerinin Avrupa sağlık sistemlerine saldırmasını engellemek.
Komisyon, “Hastanelerin ve sağlık sağlayıcılarının tehdit algılama, hazırlık ve müdahale yeteneklerini geliştirerek girişim, hastalar ve sağlık çalışanları için daha emniyetli ve daha emniyetli bir ortam yaratacak” dedi.
Komisyonun eylem planında ayrıca AB üye devletlerinden, sağlık kuruluşları da dahil olmak üzere Ağ ve Bilgi Sistemleri Direktifi 2 yasasına tabi kritik altyapı sektörü kuruluşlarından, önemli olayları bildirirken yapılan veya ödemeyi düşündükleri fidye ödemelerini raporlamalarını talep etmeleri yönünde çağrıda bulunuluyor. NIS2 Direktifi kapsamında yetkililere.
Komisyon, NIS2 Direktifi siber güvenlik çerçevesinin “dijital unsurlar içeren ürünler için zorunlu siber güvenlik gerekliliklerini belirleyen ilk AB mevzuatı olan ve 10 Aralık 2024’te yürürlüğe giren Siber Dayanıklılık Yasası ile el ele çalıştığını” söyledi (bkz. : Avrupa Konseyi Siber Dayanıklılık Yasasını Kabul Etti).
Siber Dayanıklılık Yasası, diğer zorunlulukların yanı sıra üreticilerin, ürünlerindeki siber riskleri belirlemek için bir risk değerlendirmesi yapmak, varsayılan veri korumasını sağlamak ve kusurlar hakkında düzenli olarak bilgi sağlamak ve bunlara hızlı bir şekilde yama uygulamak gibi “temel siber güvenlik gerekliliklerini” üstlenmelerini talep ediyor.
Komisyon, yeni AB sağlık sektörü siber güvenlik destek merkezinin Avrupa Birliği Siber Güvenlik Ajansı (ENISA) tarafından kurulacağını söyledi.
ENISA ayrıca hastaneler ve sağlık hizmeti sağlayıcıları için yeni siber güvenlik satın alma kılavuzları geliştirmek için de çalışacak. Bu yönergeler, hasta verilerinin depolanmasının “bulutlaştırılması”, elektronik sağlık verilerinin bulut ortamlarına ve tıbbi cihazlara güvenli bir şekilde taşınması da dahil olmak üzere üçüncü taraflarla ilgili bir dizi sorunla ilgili olacaktır.
Siber Bilgi Paylaşımını Artırma
Plan kapsamında, AB üye ülkelerinin, AB hastaneleri ve diğer sağlık sektörü kuruluşları arasında durumsal farkındalığı sağlamak için tüm siber olay bildirimlerini ENISA siber güvenlik destek merkezi ile paylaşmaları da “şiddetle teşvik ediliyor”.
Eylem planında ayrıca kamu ve özel sektör arasında bilgi paylaşım ve analiz merkezlerinin kolaylaştırdığı “iki yönlü” bilgi paylaşımının yapılması çağrısı da yapılıyor. Eylem planında, “Destek Merkezi, araçlar ve bilgi alışverişi, sektörel durumsal farkındalık raporlarının yanı sıra taktik ve stratejik işbirliği için güvenilir bir topluluğun teşvik edilmesiyle Avrupa Sağlık ISAC’a desteğini artırmalıdır” denildi.
“Üye devletler ulusal sağlık ISAC’larının gelişimini teşvik etmelidir.”
ABD’deki Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin güvenlik şefi Errol Weiss, AB komisyonunun eylem planının, sağlık kuruluşlarının ağlarını düzgün bir şekilde savunmak için yeterli finansmanı elde etme konusunda hâlâ mücadele ettiği bir zamanda geldiğini söyledi.
“Sorun AB’de, ABD’de ve küresel olarak görülüyor. Sağlık kuruluşlarının kaynaklara ihtiyacı var; yalnızca bu ağları korumak için gereken teknolojiye değil, aynı zamanda bu sistemleri çalıştıracak deneyimli bilgi güvenliği uzmanlarına da” dedi.
“Komisyonun, ISAC’ların bilgi paylaşımı ve işbirliği yoluyla kuruluşları korumaya ve güvenliği artırmaya getirdiği değeri takdir etmesinden memnunum” dedi.
Weiss, dijital altyapılarını korumakla görevli kişilerin, bilgi paylaşarak yalnızca kendilerini korumakla kalmayıp aynı zamanda tüm dijital ekosistemin güvenliğini de güçlendirdiklerini anladıklarını söyledi.
Kendisi, 2023 yılında Health-ISAC’ın, Avrupa Sağlık ISAC’ın topluluk gücü ve yerel bakış açıları ile 140’tan fazla ülkedeki tehditlerin görünürlüğü yoluyla Health-ISAC üyeliğinin “küresel gücünden” yararlanmak için Avrupa Sağlık ISAC ile ortaklık kurduğunu söyledi.
Siber tehditlere karşı birlik olup uyanık kalmamız gerekiyor” dedi. “Health-ISAC ve Avrupa Sağlık ISAC’ın AB’de birlikte çalışmasıyla, sağlık kuruluşlarının tehditlerin ve zayıf noktaların daha iyi görünürlüğünden yararlandığı, ayrıca en iyi uygulamaların ve sonuçta hastaları iyileştirecek diğer önemli bilgilerin paylaşılmasından yararlandıkları daha güvenli bir topluluk oluşturabiliriz. emniyet.”