HIPAA/HITECH , Standartlar, Yönetmelikler ve Uyumluluk
Uzmanlar, Yönetimin Kaynak Eksikliğini ve Gerici Duruşu Ele Alması Gerektiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
3 Mart 2023
Biden yönetiminin yeni yayınlanan ulusal siber güvenlik stratejisi, minimum güvenlik gereksinimleri belirlemek, iş birliğini geliştirmek ve diğer önemli adımları atmak da dahil olmak üzere tüm kritik altyapı sektörlerinde korumaları güçlendirmeyi amaçlıyor.
Ayrıca bakınız: Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Yeni strateji sağlık sektörü kuruluşları için ne anlama geliyor?
Bazı endüstri gözlemcileri, yönetimin siber uzayı daha iyi korumaya yönelik belirtilen hedeflerinin, ülkenin 17 kritik altyapı sektöründen biri olan sağlık sektörü için önemli fırsatlar ve zorluklar sağladığını söylüyor.
Fırsatlar arasında, sektörün sürekli gelişen tehditlere karşı daha iyi savunma yapmasına ve bunlara yanıt vermesine yardımcı olacak daha sağlam bir siber güvenlik duruşu oluşturulması yer alırken, zorluklar arasında sağlık kuruluşlarının her gün karşılaştığı kaynak eksikliği ve diğer engellerin üstesinden gelinmesi yer alıyor.
Healthcare Information and Management Systems Society’de siber güvenlik ve mahremiyet kıdemli müdürü Lee Kim, “Sektörümüzde ve diğer sektörler ve endüstrilerle daha iyi siber tehdit bilgileri paylaşımını ve hafifletme bilgilerini teşvik etmek açısından daha iyisini yapmalıyız” diyor.
“Siber diplomasi ile ilgili sorunların yanı sıra operasyonel güvenlik konuları ve mevcut tehditler gibi günlük sorunları çözmek için uluslararası ortaklar da dahil olmak üzere daha fazla kamu-özel sektör ortaklığına ihtiyacımız var” diyor. Kim, “Organizasyonlar bazen reaktif bir güvenlik duruşuna sahiptir ve liderlik mutlaka öğrenilen derslere bakmaz” diyor.
Siber güvenliğin sadece teknik bir sorun olmadığını, aynı zamanda ekonomi ve yönetişim konularını da içerdiğini söylüyor. “Daha gelişmiş güvenlik çözümlerini karşılamak için bir kuruluşa daha fazla para sağlamak sorunu çözmez. Bunun yerine, verileri ve varlıkları korumanın idari, fiziksel ve teknik yönlerini ele alan bütüncül bir yaklaşıma çok ihtiyaç vardır.”
Minimum standartlar
Sağlık Sektörü Koordinasyon Konseyi’nin siber güvenlik çalışma grubu yönetici direktörü Greg Garcia, asıl belgenin “sağlık hizmetleri hakkında özel olarak çok az şey söylemesine” rağmen, ulusal siber güvenlik stratejisinin kritik altyapı korumasına yaptığı vurgu, stratejinin yayınlanmasından bu yana devam ediyor.
Aslında, sağlık hizmetleri Beyaz Saray stratejisinde açıkça belirtilmemiştir, ancak bunun kritik bir altyapı sektörü olarak tanımlanması, ulusal stratejiyi sektördeki kuruluşlar için uygun hale getirmektedir – asgari siber güvenlik gereksinimlerinin belirlenmesine yapılan vurgu dahil.
Garcia, “Sağlık ve İnsani Hizmetler Departmanı ile son birkaç aydır sağlık sektörü siber güvenliğinde daha yüksek düzeyde hesap verebilirliğin nasıl görünebileceği hakkında görüşüyoruz” diyor. “En bariz” referansın Sağlık Sektörü Siber Güvenlik Uygulamalarında yer aldığını söylüyor.
Gönüllü Sağlık Sektörü Siber Güvenlik Uygulamaları veya HICP, bir kamu-özel sağlık sektörü koalisyonu olan HSCC ile 2015 Siber Güvenlik Yasası kapsamında oluşturulan bir danışma konseyi olan HHS’nin sözde “405(d) görev grubu” arasındaki ortaklıkla geliştirilmiştir. Madde 405(d).
Garcia, HICP’nin 2019’da piyasaya sürüldüğünü, ancak önümüzdeki haftalarda bir güncellemenin yayınlanacağını söylüyor.
“Yönetim, HICP’deki bazı gönüllü uygulamaların zorunlu olması gerektiğine inanıyorsa, bunu ülkenin küçük ve orta ölçekli sağlayıcılarının karşılaştığı ciddi kaynak kısıtlamaları bağlamında tartışmaya hazırız” diyor.
“Yetkiler, teşvikler, sübvansiyonlar veya hibeler olmadan yürürlüğe konulamaz. Aksi takdirde, hasta güvenliği, artan yasal uyum gerekliliklerinin yükü altında zarar görebilir.”
Diğer endüstri liderleri de HICP’nin gerçekten de sağlık hizmetlerinde minimum siber güvenlik gereksinimlerinin temeli haline gelebileceğine inanıyor.
Dijital ve Bilgi Sorumlusu Saad Chaudhry, “‘Kritik altyapıyı savun’ sütunu, 405(d)’nin sağlık hizmetleri için minimum standart haline gelip gelmeyeceğini ve sektör için bu siber güvenlik stratejisini uygulamak için araç olarak kullanılıp kullanılmayacağını merak etmeme neden oluyor” diyor. Luminis Sağlık.
Çubuklar ve Havuçlar
Garcia ve diğerleri gibi, Chaudhry de yetersiz kaynaklara sahip birçok sağlık sektörü kuruluşunun sektör için siber güvenlik konusunda potansiyel olarak daha yüksek beklentileri karşılamak için yardıma ihtiyacı olacağını söylüyor.
Sağlık Hizmetleri Bilgi Güvenliği Yöneticileri Derneği ve CISO şubesinin bir üyesi olan Chaudhry, “Muhtemelen 405(d)’ye uymak için bile yardıma ihtiyaç duyacak olan federal nitelikli sağlık merkezleri gibi daha küçük kuruluşlar olacaktır” diyor. College of Healthcare Information Management Executives, bir sağlık CIO profesyonel grubu.
“Bu sağlık kuruluşları kendi başlarına büyük olasılıkla kötü aktörler için büyük siber hedefler olmayacak, ancak teknoloji ortamlarını belirli bir güvenlik düzeyine getirmeleri bekleniyorsa, fonlara ve uzmanlığa ihtiyaçları olacak” diyor.
“Dolayısıyla, bunun on yıl önceki ‘anlamlı kullanım’ politikasının siber güvenlik versiyonunu gerektirip gerektirmeyeceğini de merak ediyorum.” .
Chaudhry, politikanın “sağlık hizmetleri siber savunmalarını desteklemek için bir ‘havuç’ sübvansiyonu ile başladığını, ancak daha sonra belirli bir zaman çerçevesi içinde uyulmazsa cezaların ‘çubuğuna’ doğru ilerlediğini söylüyor.
Aslında, Beyaz Saray’ın siber stratejisinin bu hafta açıklanmasından önce bile, bazı Kongre üyeleri de dahil olmak üzere diğerleri, sağlık sektörü için HIPAA kapsamındaki kuruluşların gerektirdiğinden daha sağlam minimum güvenlik standartları belirleme önerilerini dile getirdiler. iş ortakları.
Örneğin, D-Virginia’dan Senatör Mark Warner tarafından geçen Kasım ayında yayınlanan uzun bir politika belgesi, Medicare ve Medicaid programlarına katılan kuruluşların standart işletim prosedürü olarak “minimum güvenlik uygulamalarını” uygulamakla görevlendirilmesini önermektedir (bakınız: ABD Senatörü, Siber Güvenliğin Hasta Güvenliği Olduğunu Söyledi).
Warner, yakın tarihli bir röportajda Information Security Media Group’a verdiği demeçte, endüstri ticaret grupları – birçok Cumhuriyetçi yasa koyucu gibi – genel olarak herhangi bir yeni federal yetki beklentisine karşı çıkarken, bazı sağlık kuruluşları daha sağlam bir yönlendirmeye aç görünüyor.
Warner, bu yıl aynı zamanda sağlık sektörü siber güvenliğini iyileştirmeyi amaçlayan iki partili bir yasa çıkarmayı umuyor. ISMG’ye verdiği demeçte, böyle bir yasa tasarısının sağlık kuruluşlarının siber güvenlik duruşlarını artırmaya teşvik edilmesine yardımcı olmak için potansiyel olarak “havuç” içerebileceğini söyledi.
Biden’ın siber stratejisi hakkında Perşembe günü yaptığı açıklamada Warner, Beyaz Saray’ın “özel sektörle güçlü ortaklıklar kurmak ve güçlendirmek, uzun vadeli yatırım yapmak gibi uzun zamandır çağrıda bulunduğum en iyi uygulamaları savunmasından memnun olduğunu söyledi. – ulusumuzun kritik altyapısının vadeli korunması, güçlü siber güvenlik temelleri oluşturma ve kritik standartları karşılama konusunda proaktif olmak.”
Çeşitli Endüstri
En çok sağlık sektörü kuruluşları tarafından kullanılan Ortak Güvenlik Çerçevesi ile tanınan HITRUST’ın baş strateji sorumlusu Robert Booker, sağlık sektörü kadar geniş ve çeşitli bir sektörde tutarlı siber güvenliğin zor olduğunu ve her zaman zorlayıcı olacağını söylüyor.
“İnovasyonun hızı ve sağlık hizmetlerini hedef alan talihsiz sayıdaki siber olaylar, sektör genelinde ve kamu ile özel sektör arasında işbirliği ve ortak liderliğin oluşmasını zorunlu kılıyor.”
Robert Booker, Baş Strateji Sorumlusu, HITRUST
“İnovasyonun hızı ve sağlık hizmetlerini hedef alan talihsiz sayıdaki siber olaylar, sektör genelinde ve kamu ile özel sektör arasında işbirliği ve ortak liderliğin oluşmasını zorunlu kılıyor.”
Booker, daha az gelişmiş sağlık kuruluşlarının, bulut hizmeti sağlayıcıları ve daha olgun bilgi güvenliği programlarına sahip barındırılan sağlık uygulamaları gibi sağlayıcılardan güvenlik yeteneklerini “miras almaya teşvik edilmesi gerektiğini” öne sürüyor.
“Bu, nihayetinde güvenlik sunumunun karmaşıklığını azaltacak, güvenlik operasyonlarının verimliliğini artıracak ve ülke çapında sağlık hizmeti sunumunun toplam maliyetini azaltacaktır.”
Diğer Sütunlar
Chaudhry, genel olarak, Beyaz Saray’ın beş sütunlu ulusal siber güvenlik stratejisinin, sağlık sektörü kuruluşlarının ve diğer endüstrilerin karşı karşıya olduğu birçok zorluğu kapsayan kapsamlı bir yaklaşım gibi göründüğünü söylüyor.
Stratejinin ilk dayanağı olan kritik altyapıyı savunmaya yapılan vurgunun yanı sıra, diğer sütunlar tehdit aktörlerini hedef alıp bozguna uğratma, güvenliği ve dayanıklılığı artırmak için piyasa güçlerini kullanma, dayanıklılığa yatırım yapma ve uluslararası ortaklıkları güçlendirme konularına ışık tutuyor.
“Bu kesinlikle ulusal düzeyde ihtiyaç duyulan daha bütüncül bir siber güvenlik yaklaşımı. Sadece savunmaya konsantre olamayız. Ayrıca savunmayı kötü aktörler için daha az kazançlı ve daha cezalandırıcı hale getirmeliyiz” diyor. Chaudhry, “‘Tehdit aktörlerini hedef alma ve bozma’ ve ‘uluslararası ortaklıkları geliştirme’ sütunları kesinlikle son iki şeyi yapıyor,” diyor.
HIMSS’den Kim de benzer bir değerlendirme sunuyor. “Uluslararası ortaklarla çalışmak bizim için çok önemli. Siber güvenlik uzmanları arasındaki geleneksel düşünce, en iyisinin neler olduğu ve/veya zorluklar hakkında konuşmamak olduğu ve aksi takdirde hassas bilgileri ABD dışında paylaşma konusunda tereddüt olabileceği yönündedir. ” diyor.
“Ancak gerçek şu ki, siber uzay uluslararasıdır ve siber tehdit aktörleri hedeflere doğudan batıya veya batıdan doğuya saldırabilir. Bu nedenle, neler olup bittiğini güvenilir meslektaşlarımızdan ve meslektaşlarımızdan öğrenmek ve olabileceklere hazırlanmak bizim için çok önemlidir. bize.”
Hukuk firması Mayer Brown’ın ortağı ve Senato Yargı Komitesi’nin suç ve terörizm alt komitesinin eski baş danışmanı olan siber güvenlik avukatı Stephen Lilley, ulusal siber güvenlik stratejisinin bağlantılı tıbbi cihazlar da dahil olmak üzere nesnelerin interneti cihazlarının korunmasını da vurguladığını söylüyor.
Sağlık sektörü, stratejinin, Gıda ve İlaç İdaresi ve HHS’nin mevcut düzenleyici otoriteleri kapsamında siber güvenlik uygulamalarının sürekli olarak incelenmesini, 2022 siber olay raporlama mevzuatının sağlık sektörüne geniş çapta uygulanmasının yanı sıra potansiyel mevzuatı teşvik etmesini beklemelidir. -sektörün sorumlulukları, diyor.
“Stratejinin yakında uygulanması, sağlayıcıları, tıbbi cihaz üreticilerini, ilaç şirketlerini ve diğer sağlık kuruluşlarını hem mevcut standartları hem de güvenli yazılım geliştirme gibi ortaya çıkan en iyi uygulamaları karşılamaya zorlayacaktır” diyor.
“Kısacası, strateji sağlık sektörü için ileriye dönük daha büyük siber riskler ve sektör işletmeleri için daha yüksek beklentiler öngörüyor.”