HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
HHS, Sağlık Firmaları için Şifreleme ve Güvenlik Standartları Öneriyor
Chris Riotta (@chrisriotta) •
27 Aralık 2024
ABD Sağlık ve İnsani Hizmetler Bakanlığı, bilgisayar korsanlarının hassas hasta verilerini hedef aldığı ve Ascension ile UnitedHealth’te büyük ihlallerin yaşandığı bir yılda Amerikalıları korumaya yönelik dijital çabaları artırıyor.
Ayrıca bakınız: Netskope HIPAA Haritalama Kılavuzunu Kullanma
HHS, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası kapsamında sağlık şirketlerinin verileri şifrelemesini, rutin uyumluluk kontrolleri yapmasını ve belirli siber standartları güncellemesini gerektiren kural koyma önerisini açıklayacak. Teklif, yeni siber güvenlik talimatları ekleyecek ve on yılı aşkın süredir herhangi bir güvenlik güncellemesi görmeyen mevcut HIPAA güvenlik düzenlemelerini iyileştirecek (bkz: Beyaz Saray, HIPAA Güvenlik Kuralındaki Güncellemeleri İnceliyor).
Siber ve Gelişen Teknolojilerden Sorumlu Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, “Başa çıktığımız en endişe verici ve gerçekten rahatsız edici şeylerden biri, hastanelerin ve sağlık verilerinin hacklenmesidir” dedi. Cuma günkü basın toplantısında HHS’nin, sektör genelindeki “kronik uyumluluk eksiklikleri” nedeniyle güvenlik kuralını güncellediğini ve bunun bu yılın başındaki Change Healthcare saldırısı gibi tarihi ihlallere izin verdiğini ve uzmanların bunun UnitedHealth Group’a yaklaşık 2,9 milyar dolara mal olabileceğini söylediğini ekledi (bkz. : Sağlık Hizmeti Saldırısının Maliyet Tahminini Değiştirin Yaklaşık 2,9 Milyar Dolara Ulaştı).
Neuberger, “Harekete geçmemenin maliyeti sadece yüksek değil, aynı zamanda kritik altyapıyı ve hasta güvenliğini de tehlikeye atıyor.” dedi. Beyaz Saray, güncellenen güvenlik kuralının uygulanmasının ilk yılda 9 milyar dolara, sonraki dört yılda ise 6 milyar dolara mal olacağını tahmin ediyor.
HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, tehditlerdeki artış karşısında sağlık kuruluşlarına savunmalarını güçlendirme çağrısında bulunuyor ve saldırıların artan karmaşıklığını ve sıklığını vurgulayan bir dizi son uyarıyı yayınlıyor. Uzmanlar, mevcut sistemlerden yararlanan arazide yaşama tekniklerinin sektörü giderek daha savunmasız hale getiren taktikler arasında yer aldığını söylüyor (bkz: Federaller Sağlık Sektörünü Bir Dizi Siber Tehdide Karşı Uyardı).
Milyonlarca Amerikalı, 2024 yılında Change Healthcare gibi sağlık kuruluşlarından ihlal bildirimi mektupları aldı. Şirket, etkilenen kuruluşlar ve bireyler için ilk olarak 20 Haziran’da web sitesinde yedek bir HIPAA ihlal bildirimi yayınladı.
HHS yorum taleplerine hemen yanıt vermedi.