Sağlık, Sektöre Özel, Mevzuat ve Dava
Yasa Tasarısı Senato Tekliflerine Benziyor, Peki Kongre Seçim Öncesinde Harekete Geçecek mi?
Marianne Kolbass McGee (SağlıkBilgiGüvenliği) •
30 Ağustos 2024
İki partili bir Meclis tasarısı, CISA ile Sağlık ve İnsan Hizmetleri Bakanlığı arasında daha güçlü bir iş birliği gerektirerek sağlık sektöründe siber güvenliği güçlendirmeyi amaçlıyor. Tasarı, Temmuz ayında Senato’ya sunulan neredeyse aynı iki partili yasanın bir tamamlayıcısı.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve iyileştirilmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Kanun koyucular Perşembe günü Temsilciler Meclisi yasasını – Sağlık Siber Güvenlik Yasası – açıkladı. Yasa tasarısı ABD Temsilcileri Jason Crow, D-Colo.; Brian Fitzpatrick, R-Penn. ve Andy Kim, DN.J. tarafından destekleniyor.
Crow, bir bildiride “Siber saldırganlar Amerikalıların tıbbi verilerini hedef alıyor ve durdurulmalı” dedi. Ülkenin “Amerikalıların en kişisel ve hassas bilgilerini kötü niyetli aktörlerden” daha iyi korumak için siber savunmasını güçlendirmesi gerektiğini söyledi
Temsilciler Meclisi’nin tasarısı, siber güvenlik olayları sırasında HHS ile koordinasyon sağlamak ve sağlık ve kamu sağlığı sektörü kuruluşlarına siber güvenlik eğitimi ve diğer ilgili kaynaklarla destek sağlamak amacıyla CISA içinde bir irtibat biriminin oluşturulmasını öngörüyor.
CISA’nın sağlık ve kamu sağlığı sektöründeki teknolojilerin, hizmetlerin ve kamu hizmetlerinin “sahipleri ve operatörlerine” sunduğu önerilen eğitim, bilgi sistemlerindeki güvenlik risklerini azaltma yollarını da içeriyor.
Kanun koyucular, bu yılın başlarında Change Healthcare’e yapılan fidye yazılımı saldırısıyla sağlık ekosisteminin büyük ölçüde sekteye uğradığını ve “kurtarma sürecindeki hazırlık ve eğitim eksikliğinin” vurgulandığını belirttiler.
Senato’nun yasa tasarısı versiyonu – Temmuz ayında Senatörler Jacky Rosen, D-Nev.; Todd Young, R-Ind.; ve Angus King, I-Maine tarafından sunulan 2024 Sağlık Siber Güvenliği Yasası – benzer eylemler öneriyor; bunların arasında sağlık sektörü siber güvenliği konusunda HHS ile çalışmak üzere CISA içinde yeni bir irtibat görevlisinin oluşturulması da var (bkz: Yasa Tasarısı, CISA ve HHS’nin Sağlık Sektörü Siber Güvenlik Çalışmalarını Artırmak İçin Çaba Göstermesini İstiyor).
Bazı uzmanlar, Temsilciler Meclisi ve Senato versiyonlarındaki yasa tekliflerinin, HHS’nin siber güvenlik organizasyon yapısı içinde CISA ile ortaklık içinde yürütülen çalışmaların çoğunu Kongre denetimiyle kanunlaştıracağını söyledi.
“Bu sorunu ele almak için iki partili desteği görmek cesaret verici olsa da, HHS ve CISA yıllardır bu ortak hedef için çalışıyor. Bu önerilen yasa tasarısında ana hatları çizilenlerin çoğu, şu anda devam eden çalışmaları belgeliyor,” dedi güvenlik firması Fortified Health Security’de hükümet işleri yöneticisi Kate Pierce.
Vermont’taki bir hastanede uzun yıllar CIO ve CISO olarak görev yapan Pierce, “Mevzuattaki ayrıntıların yakalanması, yönetimde yapılacak yaklaşan değişikliklerin şu anda devam eden sıkı çalışmaları olumsuz etkilememesini sağlayacaktır” dedi.
“Sektörün ihtiyaç duymadığı bir şey daha fazla çalışma ve rapor oluşturulmasıdır. Daha fazla değerlendirmeye gerek yok. Planı uygulamaya koymanın zamanı geldi,” dedi.
Yasama ivme kazanacak mı?
İki yasa tasarısı, son yıllarda sağlık hizmetlerinde ve halk sağlığında siber güvenliği güçlendirmeyi amaçlayan bir avuç iki partili kongre çabasının sonuncusudur. Şimdiye kadar, diğer tekliflerin çoğu, çoğunlukla parti çizgileri boyunca bölünmüş bir Kongre’de çok fazla ilerleme kaydedemedi.
Güvenlik firması DomainTools’un federal güvenlik stratejisti Malachi Walker, “Seçime ne kadar yaklaşsak da, her iki yasa tasarısının da geçmesi zor olabilir” öngörüsünde bulundu.
“Senatör Rosen’in tasarısı iki partili desteğe sahip ve Senato’dan geçme şansı yüksek, ancak Temsilciler Meclisi’nde daha fazla temsilci ve daha az belirgin iki partili destek olmasıyla Rosen’in tasarısının komiteden çıkması ve Crow’un tasarısının kabul edilmesi zorlu bir mücadele olacak,” dedi.
Ancak diğerleri daha iyimser. “Her iki meclisin de siber güvenlik hakkında konuşan üyelerinin sayısı önemli ölçüde arttı,” dedi RunSafe Security’de baş strateji görevlisi olan Doug Britton.
“Siber sorunlarla ilgili olarak kurumlardan gelen bilgi talepleri patlama yaptı. Ve bu alandaki başarısızlıkların sonuçları açık. Bunun ivme kazanabileceğini düşünüyorum” dedi.
Pierce benzer bir değerlendirmede bulundu. “Bu yasa tasarıları, her iki partinin de sağlık siber güvenliğinin ele alınması gereken ulusal bir risk olduğu konusunda hemfikir olmasıyla Kongre’de ivme kazanabilir,” dedi. “Yaklaşan seçimlerle birlikte belirsizliklerin artmasıyla birlikte, bu, özellikle sağlık için temel bir siber güvenlik programının temelini sağlamlaştırmanın bir yoludur.”
Uzmanlar, hükümetin sunabileceği herhangi bir siber yardımın sağlık sektöründe potansiyel olarak fayda sağlayacağını söyledi.
Walker, “Sağlık hizmetlerini güvence altına almak zordur çünkü finansal açıdan motive olmuş rakipler, sistemlerin tehlikeye girmesi durumunda hayatların tehlikede olduğunu bildiklerinden, sağlık kuruluşlarını mümkün olan en kısa sürede işlerini yeniden başlatmak için her şeyi yapacak gruplar olarak görüyorlar” dedi.
“Çevrimiçi bir sistemi tehlikeye atmayı başarırlarsa, saldırganlar çok az dirençle karşılaşarak fidye alabileceklerine inanırlar” dedi.
“CISA ve HHS’nin, başarılı veya girişimde bulunulan siber saldırılarda gözlemlenen alan adları veya IP adreslerinin arkasındaki kişiler veya kuruluşlar hakkında öğrenebilecekleri her şeyi öğrenme konusunda çıkarları var” dedi.
Walker, hem Crow hem de Rosen yasa tasarılarındaki önerilerin “bu tehditlerin ele alınması ve sektörde siber güvenlik çıtasının yükseltilmesi yönünde ilk adımın sinyallerini verdiğini” söyledi.
“Her iki yasa tasarısı da sağlık hizmeti sahipleri ve işletmecileri için bilgi paylaşımını, siber güvenlik eğitimini ve öğretimini teşvik ediyor ve yalnızca sağlık sektörüne özgü olmayan, aynı zamanda kamu sağlığı sektöründe uzmanlaşmış desteğe nerede ihtiyaç duyulduğunu da belirten bir risk yönetim planı taslağı sunuyor” dedi.
Her iki yasa tasarısında da HHS’nin bu yılın başlarında yayınlanan siber güvenlik performans hedeflerinden bahsedilmiyor. Hedefler, sağlık verisi güvenliğinde çıtayı yükseltmeye yardımcı olmayı amaçlıyor. HHS, CPG’lerin gönüllü olduğunu söyledi ancak hastaneler gibi bazı sağlık sektörü kuruluşları için zorunluluk haline gelebileceğini ima etti (bkz: Fed’ler Siber Güvenlik Sektörünü Güçlendirmek İçin Sağlık Sektörüne Karşı Sopa ve Havuç Sallıyor).
Tasarıların ele almadığı bir diğer önemli konu ise finansman.
“Bu çabaları desteklemek için fon eksikliği, eksik görünen en önemli unsurlardan biri,” dedi Pierce. “Birçok sağlık kuruluşu, finansal destek olmadan çıtayı önemli ölçüde yükseltemeyecektir.”
Sağlık ve kamu sağlığı sektörüne yönelik siber saldırılar artarken, diğer zorluklar da artıyor, dedi. “Özellikle daha küçük, kırsal sağlık kuruluşlarında çok fazla rekabet eden öncelik var, siber savunmaya öncelik vermek için, zorunlu olmadıkça – örneğin CPG’leri gönüllüden zorunluya taşımak gibi – ve bunu destekleyecek fon bulunmadıkça,” dedi.
Pierce, HHS’nin 1,3 milyar dolarlık 2025 mali yılı bütçe teklifinin önemli bir etki yaratmaya yetmediğini, “Ancak başlamak için iyi bir yer” olduğunu söyledi.