ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), büyük sağlık verisi sızıntılarındaki artışın ardından hastaların sağlık verilerini güvence altına almak için 1996 tarihli Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nda (HIPAA) güncellemeler yapılmasını önerdi.
HHS Sivil Haklar Bürosu (OCR) tarafından önerilen ve 60 gün içinde nihai kural olarak yayınlanması beklenen bu daha katı siber güvenlik kuralları, sağlık kuruluşlarının korunan sağlık bilgilerini (PHI) şifrelemesini, çok faktörlü kimlik doğrulamasını uygulamasını ve sistemlerini bölümlere ayırmasını gerektirecektir. Saldırganların ağlar arasında yanal olarak hareket etmesini zorlaştırmak için ağlar.
HHS, “Son yıllarda, Bakanlığa bildirilen 500 veya daha fazla kişiyi etkileyen ihlallerin sayısında, bu tür ihlallerden etkilenen toplam kişi sayısında ve bilgisayar korsanlığı ve fidye yazılımı kullanılarak yapılan siber saldırıların hızla artmasında endişe verici bir artış oldu.” ‘ teklifi diyor.
“Bakanlık, denetime tabi kuruluşların yaşadığı artan sayıdaki ihlallerden ve diğer siber güvenlik olaylarından endişe duymaktadır. Ayrıca bu tür olaylardan etkilenen bireylerin sayısındaki artış eğiliminden ve bu tür olaylardan kaynaklanan potansiyel zararların büyüklüğünden de giderek daha fazla endişe duyuyoruz.”
Reuters, Beyaz Saray’ın siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger’in de gazetecilere, HIPAA siber güvenlik kuralı güncellemelerinin son yıllarda hastaneleri ve Amerikalıları etkileyen fidye yazılımı saldırıları ve büyük ihlallerden kaynaklandığını söylediğini bildirdi.
Neuberger, bu kuralları uygulamanın ilk yılda yaklaşık 9 milyar dolara, sonraki dört yılda ise 6 milyar doların üzerine mal olacağını ekledi.
“Güvenlik kuralı [under HIPAA] İlk kez 2003’te yayınlandı ve en son 2013’te revize edildi; dolayısıyla bu, 20 yıllık kurala on yıldan fazla bir süre içinde yapılan ilk güncellemedir ve sağlık hizmeti verilerini koruyan kuruluşların bu verileri şifrelemek gibi şeyler yapmasını gerektirecektir; böylece saldırıya uğramaları halinde, Neuberger, internete sızdırılıp bireyleri tehlikeye atamaz” dedi.
“Harekete geçmemenin maliyeti sadece yüksek değil, aynı zamanda kritik altyapıyı ve hasta güvenliğini de tehlikeye atıyor ve başka zararlı sonuçlar da taşıyor.”
En son, ABD’nin en büyük özel sağlık sistemlerinden biri olan Ascension, yaklaşık 5,6 milyon kişiye kişisel ve sağlık verilerinin May Black Basta fidye yazılımı saldırısında çalındığını bildirdi.
Siber saldırının ardından Ascension çalışanları, hastaların elektronik kayıtlarına artık erişilemediği için ilaçları ve prosedürleri kağıt üzerinde takip etmek zorunda kaldı. Sağlık devi ayrıca triyaj gecikmelerini önlemek için bazı cihazları çevrimdışına almak ve acil tıbbi hizmetleri diğer sağlık birimlerine yönlendirmek zorunda kaldı.