Sağlık hizmetleri, sektöre özgü, düzenleme
Uzmanlar, küçük, orta ölçekli organizasyonlara yönelik araçları söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
10 Eylül 2025
Federal düzenleyiciler, uzun zamandır küçük ve orta ölçekli sağlayıcılara ve iş ortaklarına risk analizine yardımcı olmayı amaçlayan HIPAA güvenlik risk değerlendirme aracını güncellediler – birçok sağlık kuruluşunun doğru olamayacağı bir faaliyet.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Dairesi ve Eskiden Sağlık BT Ulusal Koordinatörü Ofisi olarak bilinen Teknoloji Politikası Yardımcısı – Salı günkü güvenlik riski değerlendirme aracının 3.6 sürümünü yayınladı ve son güncellemenin “önceki sürümlerden mevcut siber rehberliğine ve kullanıcı geri bildirimlerine dayalı geliştirmeler ve iyileştirmeler” içerdiğini söyledi.
Ücretsiz SRA aracı, sihirbaz tabanlı bir yaklaşım kullanarak güvenlik riski değerlendirme sürecinde kullanıcıları yönlendiren, kullanıcıları çoktan seçmeli sorular, tehdit ve güvenlik açığı değerlendirmeleri ve varlık ve satıcı yönetimi yoluyla yönlendiren bir uygulamadır. Yol boyunca referanslar ve ek rehberlik verilmiştir. Değerlendirme tamamlandıktan sonra kaydetmek ve yazdırmak için raporlar mevcuttur.
HHS, en az son 10 yıldır SRA aracının çeşitli yinelemelerini sundu (bkz:: Risk Analizi, Hitech Yasası Nihai Kurallarında Stresli Şifreleme).
Hatalı risk analizi uzun zamandır HHS OCR’nin HIPAA ihlali araştırmaları ve denetimleri hakkında en yaygın bulgu olmuştur (bkz:: HIPAA risk analizleri neden bu kadar sık işareti kaçırıyor?).
Ekim 2024’te ajans, risk analizini en çok uygulama önceliği olarak adlandırdı ve korunan sağlık bilgilerinin ödün vermelerine katkıda bulunabilecek zayıf risk değerlendirmelerini azaltmak için bir girişim başlattı.
O zamandan beri, HHS OCR yaklaşık bir düzine HIPAA icra eyleminde risk analizini vurguladı. Bu, Ajansın 2020 fidye yazılımı ihlali ile ilgili soruşturmasının ardından bir HIPAA Business Ortağı olan HIPAA Business Ortak olan Sertifikalı Kamu Muhasebe Şirketi BST & Co. Muhasebe firması, HIPAA fidye yazılımı ihlali için 175 bin dolar ödüyor).
Güncellemede ne var?
HHS, güncellemenin aşağıdakileri içeren birkaç temel özellik içerdiğini söyledi:
- Denetim izleme için onay ve tarihleri kaydetmek için yeni bir “inceleme” onay düğmesi;
- “Orta” nı “orta” olarak değiştiren Ulusal Standartlar ve Teknoloji Enstitüsü ile uyumlu güncellenmiş bir risk ölçeği;
- Bölüme özgü ayrıntılar ve güncellenmiş feragatnameler içeren gelişmiş raporlar;
- Modası geçmiş bileşenlerdeki güvenlik açıklarını azaltmak için yenilenmiş kütüphane dosyaları;
- Sorular, yanıtlar ve eğitim için geliştirilmiş içerik.
Ancak güncelleme hakkında öne çıkan nedir ve yenilenen araç bir fark yaratacak kadar ileri gidiyor? Bazı uzmanlar iyileştirmeler görüyor, ancak daha fazla iş yapılması gerektiğini söylüyor.
Güvenlik ve gizlilik firması Clearwater danışmanlık hizmetleri başkan yardımcısı Dave Bailey, “Gözden geçirilmiş bir onay düğmesinin eklenmesi gerçekten göze çarpıyor.” Dedi. “Kapalı varlıklar ve iş ortakları genellikle risk analizlerinin resmi olarak gözden geçirildiğini ve onaylandığını göstermekle mücadele ediyor – OCR incelemesinin kilit noktası” dedi.
“Zaman damgaları onayları olan yerleşik bir özelliğe sahip olmak, soruşturmalar sırasında gereken özeni kanıtlarken kritik olan denetim izini güçlendiriyor.” Dedi.
Ayrıca, “Güncellenmiş, NIST ile uyumlu risk ölçeği de bir adım ileri, çünkü kuruluşların daha geniş çerçevelerle uyumlu ortak bir risk dili konuşmasına yardımcı olur” dedi.
Gizlilik ve Güvenlik Danışmanlığı TW-Security Başkanı Tom Walsh, kendisine en çok göze çarpan iyileştirmenin sorular, yanıtlar ve eğitim özelliği için geliştirilmiş içerik olduğunu söyledi.
“Yıllarca SRA aracının her sürümünün bir analizini yaptım. Her revizyon, temel HIPAA güvenlik kuralı gereksinimlerinin ötesindeki tehditleri ve riskleri ele almada daha iyi oldu.” Dedi.
“Bununla birlikte, siber güvenliğin bir parçası olan ve hala sorularda veya aracın eğitim kısmında bulunmayan anahtar kelimelerin ve konuların bir listesi var.” Dedi. Bu, “kimlik avı” da dahildir – fidye yazılımının teslim edilmesinin birincil yolu – ve “siber sigorta” dedi.
Bailey, en son güncellemelerle bile, SRA aracı daha küçük organizasyonlara yönelik olmaya devam ediyor ve hala sınırlamaları var.
“Büyük sağlık sistemleri veya kapsamlı üçüncü taraf/satıcı ekosistemlerine sahip kuruluşlar gibi karmaşık ortamlar için yeterince dinamik değil” dedi. “Devam eden risk izleme ile tam olarak entegre değil, boşlukları zamanında bırakıyor – kuruluşların hala analizlerini düzenli olarak yeniden ziyaret etmelerini ve yenilemelerini sağlamaları gerekiyor” dedi.
Bailey, araç, işletme çapında gerçek bir risk yönetimi programına sahip olmanın yerine değil, rehberlik sağlıyor. “Birçok kuruluş yanlışlıkla aracı kullanmanın OCR daha kapsamlı bir yaklaşım beklediğinde HIPAA uyumluluk kutusunu kontrol ettiğine inanıyor.”
Walsh benzer bir değerlendirme sunar. “SRA aracı hala modası geçmiş bir kural olan HIPAA güvenlik kuralına çok yakın. “Bu nedenle, araç kapsamlı bir – ‘kapsamlı’ – risk analiz aracı değildir.”
Ayrıca, aracın hedef kitlesi doktor uygulamaları gibi daha küçük sağlık sektörü kuruluşları olsa da, “Yıllarca süren deneyimim bana çoğu uygulama yöneticisinin SRA aracındaki soruları kendileri tamamlayamayacağını söylüyor.” Dedi. “BT destek satıcısından yardıma ihtiyaçları olacaklardı.”
Risk Analizi İstek Listesi
Peki, HHS OCR, düzenlenmiş kuruluşlara HIPAA güvenlik risk analizi uygulamalarını iyileştirmede daha iyi yönlendirmek için SRA aracına ne yapabilir?
Walsh, “Yararlı olabilecek bir şey – SRA’daki her soruyu, iş unvanı ile – belirli bir soruyu cevaplamak için en iyi nitelikli olabilecek bir şey.” Dedi. Örneğin, bir SRA sorusunu “Bu bir soru mu? EHR satıcım?” Yararlı olacağını söyledi.
Ayrıca, HHS sorular için ağırlıklı bir değer yaratmalıdır, “tüm sorular diğerleri kadar önemli olmadığı için” diyor Walsh. “Örneğin, çok faktörlü kimlik doğrulamasına sahip olmak veya eksik olmak, kullanıcı erişimi ile ilgili yazılı bir politikadan çok daha önemlidir” dedi.
Genel olarak Bailey, HHS OCR’nin daha büyük ve daha karmaşık kuruluşlar için tasarlanmış kaynakları genişlettiğini görmek istediğini, belki de SRA aracından kurumsal siber risk yönetimine nasıl ölçekleneceğini gösteren refakatçi rehberliği ile görmek istediğini söyledi.
“Daha fazla vaka temelli örnekler, icra eylemlerinden ve sektöre özgü şablonlardan öğrenilen dersler, kuruluşların bir ‘kontrol listesi’ zihniyetinden gerçek bir riske dayalı stratejiye geçmesine yardımcı olmak için uzun bir yol kat edecektir.” Dedi.
“Güncellenmiş SRA aracı, özellikle kaynak kısıtlı kuruluşlar için doğru yönde bir adımdır. Araç, bitiş çizgisi değil, bir başlangıç noktası olarak görülmelidir.” Dedi.
“Müşterilere sık sık hedefin risk analizini, iş hedefleriyle uyumlu, yönetişime bağlı ve tehditler, teknolojiler ve örgütsel değişiklikler geliştikçe sürekli olarak yenilenen bir süreçte işlevselleştirmek olduğunu hatırlatıyoruz.”
ASTP ve OCR, SRA aracının yeni özelliklerini göstermeye, raporlarda dolaşmaya ve soruları cevaplamaya yardımcı olmak için 15 Eylül ve 16 Eylül’de canlı web seminerlerine ev sahipliği yaptıklarını söyledi.