Sağlık, HIPAA/HITECH, Sektöre Özel
Siber Saldırılar Artıyor, Ancak PHI’yi Hırsızlıklardan ve Doğal Afetlerden Korumak Kritik Önem Taşıyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
23 Ağustos 2024
ABD’de federal düzenleyici bir kuruluş, sağlık sektörüne yönelik bitmek bilmeyen siber saldırılara rağmen hasta verilerine yönelik fiziksel tehditlerin hâlâ bir tehlike olduğunu söyledi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve iyileştirilmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Sağlık ve Sosyal Hizmetler Bakanlığı’nın Sivil Haklar Ofisi Çarşamba günü yayınladığı duyuruda, 2020-2023 yılları arasında çalınan bilgisayar ekipmanları ve ilgili cihazlarla ilgili olarak güvenliği sağlanmamış korunan sağlık bilgilerinin ihlal edilmesiyle ilgili olarak toplam 1 milyon kişiyi etkileyen 50’den fazla büyük ihlal bildirimi aldığını söyledi.
Bu, şifrelenmemiş hasta verilerini içeren kayıp veya çalıntı cihazlarla ilgili ihlallerin HHS OCR HIPAA İhlal Bildirim Aracı web sitesinde yayınlanan büyük ihlallere hakim olduğu on yıldan daha kısa bir süre öncesine göre bir gelişmedir.
Ancak düzenleyiciler bunun hâlâ çok fazla olduğunu söylüyor.
HHS OCR, Forrester Research’ün 2023 Veri Güvenliği Durumu raporundaki bulgulara atıfta bulunarak, veri güvenliği karar vericilerinin yalnızca %7’sinin, kayıp veya çalınan ekipmanlardan kaynaklanan ihlallerden endişe duyduğunu, bunların ihlallerin %17’sini oluşturduğunu söyledi.
Büyük sağlık verisi ihlalleri çoğunlukla bilgisayar korsanlığı olaylarından kaynaklansa da, HIPAA kapsamındaki kuruluşlar ve iş ortakları, tesis erişim kontrolleri de dahil olmak üzere fiziksel güvenliklerini ihmal etmemelidir.
Düzenleyiciler, kilitsiz tesislerin suçluları cezbedebileceğini ve bu suçluların olay yerinden kaçmak için acele ederken “aynı zamanda cihazların güç veya soğutması için gereken fiziksel yapıları veya elektronik bileşenleri tahrip edebileceğini ya da ağ bağlantısı için gereken altyapıya zarar verebileceğini” söyledi. Tüm bunlar, tam kurtarma için ek gecikmelere ve maliyetlere yol açabilir.
‘Çözülebilir’ Sorunlar
HIPAA Güvenlik Kuralı’nın tesis erişim kontrol standardı, dört “adreslenebilir” uygulama spesifikasyonundan oluşur: acil durum operasyonları, tesis güvenlik planı, erişim kontrolü ve doğrulama prosedürleri ve bakım kayıtları.
Kurum, adreslenebilir uygulama şartnamelerinin HIPAA tarafından düzenlenen kuruluşların, bir uygulama şartnamesinin kendi ortamında makul ve uygun bir güvenlik önlemi olup olmadığını değerlendirmesini ve eğer öyleyse, bunu uygulamasını gerektirdiğini belirtti.
Fiziksel güvenlik için dört adreslenebilir uygulama spesifikasyonu şunlardır:
- Acil durum operasyonları, ePHI içeren sistemlere zarar veren sel gibi acil durumlara veya diğer olaylara yanıt verme planlarını içermelidir.
- Tesis güvenlik planları, tesisleri ve ekipmanları yetkisiz fiziksel erişime, kurcalamaya ve hırsızlığa karşı korumaya yönelik politikalar ve prosedürleri içermelidir.
- Erişim kontrolü ve doğrulama prosedürleri, ziyaretçi kontrolü ve test ve revizyonlar için yazılıma erişim dahil olmak üzere, bir bireyin rolü veya işlevine dayalı olarak tesislere erişimi içermelidir.
- Bakım kayıtları, bir tesisin güvenlikle ilgili fiziksel bileşenlerinde yapılan onarımlar ve değişikliklerle ilgili bilgileri belgelemelidir.
“Tesis erişim kontrollerini uygulamak, evinizi güvence altına almaya benzer. Evinizin girişlerini kilitlemeden önce, evinizi etkili bir şekilde güvence altına almamış olursunuz; benzer şekilde, uygun tesis erişim kontrolleri olmadan, ePHI’nizi tam olarak güvence altına almamış olursunuz,” HHS OCR söyledi.
Ayrıca kurum, hava koşullarının daha aşırı hale gelmesi ve doğal afetlerin daha yaygın hale gelmesiyle birlikte, düzenlenen kuruluşların tesislerinin fiziksel dayanıklılığını değerlendirmeleri gerektiğini belirtti.
Uygulamaya Tabi
HHS OCR, HIPAA tarafından düzenlenen kuruluşlara, tesis erişim kontrollerinin uygulanmamasının PHI ihlaline yol açması halinde olası yaptırım eylemlerine tabi olacaklarını hatırlattı.
Tesis erişim kontrollerinin uygulanmasındaki potansiyel bir başarısızlık, 2012 yılında Massachusetts sağlık kuruluşu tarafından bildirilen beş ayrı ihlalin ardından kurumun 2018 yılında Fresenius Medical Care Holdings ile 3,5 milyon dolarlık bir HIPAA anlaşmasına katkıda bulunmuştur (bkz: 2012’deki Beş Küçük İhlal İçin 3,5 Milyon Dolarlık Ceza).
Toplam 366 kişiyi etkileyen bu olaylardan üçü, FMC’nin tesislerinden çalınan ekipmanları içeriyordu. Tehlikeye atılan ePHI’de isimler, kabul tarihleri, tedavilerin günleri ve saatleri, doğum tarihleri, Sosyal Güvenlik numaraları, telefon numaraları ve adresler yer alıyordu.
Kurum, HIPAA’ya ilişkin diğer olası ihlallerin yanı sıra, HHS OCR’nin ihlallerle ilgili soruşturmasında, FMC’nin tesislerini ve ekipmanlarını yetkisiz erişim, kurcalama ve hırsızlıktan korumak için politika ve prosedürler uygulamadaki başarısızlığına da yer verildiğini belirtti.
Gizlilik ve güvenlik danışmanlık şirketi Clearwater’ın danışmanlık hizmetleri kıdemli direktörü Wes Morris, ne yazık ki birçok sağlık kuruluşu, önemli miktarda zaman ve emek yatırımı gerektiren merkezi işlem ve depolama noktalarını içeren güvenlik risklerine odaklanma eğiliminde olduğunu ve bunun da “çoğu zaman fiziksel güvenlik fonksiyonlarıyla gerekli ve şeffaf işbirliğinin pahasına” gerçekleştiğini söyledi.
Düzenlenen kuruluşların kendi tesis erişim güvenliği risklerinin bir parçası olarak, üçüncü tarafların oluşturduğu riskleri de göz önünde bulundurmaları gerektiğini söyledi.
Morris, “Tesisler harici bir tarafça (örneğin kiralanan bir alandaki ev sahibi) yönetiliyorsa, kapsam dahilindeki kuruluşlar ve iş ortakları, PHI’ye tesadüfi erişim olasılığı yüksek olan ev sahiplerine, fiziksel güvenlik kontrollerini ve temizlik, bakım ve fiziksel güvenlik için tedarikçi zincirlerini doğrulayarak, diğer üçüncü taraf tedarikçilere davrandıkları gibi davranmalıdır” dedi.