3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Ajans, Tavsiyelerini Diğer Sağlık Sektörü Siber En İyi Uygulama Kaynaklarıyla Eşleştiriyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Kasım 2023
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın yeni kılavuzu, sağlık ve kamu sağlığı sektörü kuruluşlarının, kuşatılmış sektörü tehdit eden en sorunlu güvenlik açıklarının oluşturduğu ciddi riskleri yönetme konusunda çok daha sıkı bir kontrole sahip olmalarına yardımcı olmayı amaçlıyor.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
CISA’nın Perşembe günü yayınlanan yeni yayını Azaltma Kılavuzu: Sağlık ve Halk Sağlığı, önceki CISA kılavuz materyallerini (kritik altyapı sektörleri için Sektörler Arası Siber Güvenlik Performans Hedefleri kılavuzu gibi) diğer sağlık hizmetlerine özgü endüstri ve hükümet kaynaklarıyla eşleştiriyor. Bunlar arasında, Sağlık Sektörü Koordinasyon Konseyi ve Sağlık ve İnsani Hizmetler Bakanlığı’nın 405(d) siber güvenlik görevi tarafından ortaklaşa geliştirilen ve bu yılın başlarında yayımlanan bir en iyi güvenlik uygulamaları başucu kitabı olan Sağlık Sektörü Siber Güvenlik Uygulamaları: Tehditleri Yönetmek ve Hastaları Korumak 2023 baskısı yer alıyor. grup (bkz: Sağlık Hizmetlerindeki Siber Tehditlere İlişkin Güncellenmiş En İyi Uygulama Başucu Kitabı).
Rehberlik Ayrıntıları
İç Güvenlik Bakanlığı ajansı, CISA’nın yeni hafifletme kılavuzunda sağlık ve kamu sağlığı sektöründe maruz kalan en yaygın güvenlik açıklarını değerlendirerek her büyüklükteki kuruluş için “özelleştirilmiş öneriler ve en iyi uygulamalar” sağladığını yazıyor.
Kılavuzda, “Bu güvenlik açıklarının açığa çıkması, fidye yazılımı, veri ihlalleri veya hizmet reddi gibi zararlı siber faaliyetlerle sonuçlanabilir. Bunların her biri, kritik sistemlerin, işlevlerin ve verilerin kullanılabilirliğini, gizliliğini ve bütünlüğünü tehlikeye atabilir” diyor.
Ajans, CISA’nın sağlık ve kamu sağlığı sektörü kuruluşları için önemli risk teşkil ettiğini düşündüğü en önemli güvenlik açıklarının arasında web uygulaması sorunları, şifreleme zayıflıkları, desteklenmeyen yazılım ve işletim sistemleri, bilinen istismar edilen güvenlik açıkları ve savunmasız hizmetler yer aldığını belirtti.
Kılavuzda CISA tarafından vurgulanan azaltma stratejileri “kurumsal siber güvenlik duruşunu iyileştirmek” için tasarlanmıştır. Odak alanları arasında varlık yönetimi ve güvenlik, kimlik yönetimi ve cihaz güvenliği, güvenlik açığı ve yama yönetimi ile yapılandırma ve değişiklik yönetimi yer alır.
Kılavuzda “CISA, sağlık ve halk sağlığı kuruluşlarının, kurumsal siber güvenlik duruşunu iyileştirmek için bu kılavuzda ele alınan risk azaltma stratejilerini ve önerilerini takip etmesini tavsiye ediyor” diyor.
CISA, sağlık ve kamu sağlık sektörü kuruluşlarının siber tehditlerden kaynaklanan riski önlemek ve en aza indirmek için güvenlik açığı azaltma uygulamalarında dikkatli olması gerektiğini söyledi. “Bir kuruluş bir güvenlik açığını değerlendirip bir risk olarak kabul ettiğinde, güvenlik açığını ele almalıdır.”
Tasarım Açısından Güvenli
CISA’nın rehberliği aynı zamanda sağlık teknolojisi ve BT ürünleri üreticilerini tasarım ve geliştirme çabalarını “tasarım yoluyla güvenli” yaklaşımına göre yenilemeye çağırıyor ve sağlık hizmeti sunan kuruluşların bu tür satıcılardan satın alma işlemlerine öncelik vermelerini tavsiye ediyor.
Ajans, “Tarihsel olarak teknoloji üreticileri ve satıcıları, ürünler dağıtıldıktan sonra güvenlik açıkları için tek seferlik düzeltmelere güvendiler ve bu da müşterilerin masrafları kendilerine ait olmak üzere yamaları uygulamasını gerektiriyordu” dedi.
“CISA ve ortakları”, ürün geliştirmedeki dengeyi, müşterilerin güvenliğinin yalnızca teknik bir özellik değil, temel bir iş gereksinimi olduğu ve ürün güvenliği için varsayılan olarak güvenli olduğu tasarım gereği güvenliye kaydırmayı hedefliyor Kılavuzda, hiçbir yapılandırma değişikliği gerekmeden ve güvenlik özelliklerinin ek ücret ödemeden mevcut olması sağlanıyor” diyor.
Kaynak Haritalama
Greg Garcia, CISA’nın yeni güvenlik açığı azaltma kılavuzunu eşlediği HICP 2023 kılavuzunu geliştirmek için HHS’nin 405(d) siber görev grubuyla işbirliği yapan HSCC siber güvenlik çalışma grubunun genel müdürüdür. Birleştirilmiş tavsiyelerin uygulanması durumunda sağlık ve kamu sağlığı sektörü kuruluşlarının güvenlik programlarını büyük ölçüde artırmalarına yardımcı olabileceğini söyledi.
“Sağlık hizmeti sağlayıcılarının ve onların destekleyici altyapılarının, sağlığı etkileyen gelişen siber güvenlik sorunlarını nasıl ele alabileceğine ilişkin tutarlı bir öneri paketini birleştirmeye çalışırken, son birkaç aydır HSCC’de bizimle ve HHS ile istişarelerini arttırdığı için CISA’yı takdir ediyoruz. Garcia, Bilgi Güvenliği Medya Grubu’na söyledi.
“CISA’nın hafifletme kılavuzu, HHS-HSCC ortak HICP’sine uygun şekilde atıfta bulunuyor ve haritalandırıyor” dedi. “HICP’nin tüm sağlık alt sektörleri için uygulanabilir ve ölçeklenebilir olduğunu kabul etmek önemlidir, ancak en savunmasız hedeflerin büyük ve küçük, kırsal ve kentsel sağlık hizmeti sağlayıcıları olduğunu biliyoruz” dedi.
Garcia, 1. Cilt’e odaklanarak daha küçük sağlık hizmeti sağlayıcı kuruluşların HICP uygulamalarını uygulamaya özellikle teşvik edildiğini söyledi. 2. Cilt’in ise orta ve büyük ölçekli kuruluşlara yönelik olduğunu söyledi.
“HICP’nin (her ne kadar gönüllü olsa da), güvenlik açıklarını ölçülebilir şekilde azaltacak ve hazırlık ve müdahale yeteneklerini artıracak temel siber güvenlik uygulamalarına ilişkin sağlık sektörünün hesap verebilirliği konusunda hükümet ve sigortacılar tarafından temel bir referans olarak gösterilmesi sadece bir zaman meselesi olabilir” dedi. .
“En iyisi bu eğrinin önüne geçmek.”