Dalış Özeti:
- Hükümet Sorumluluk Ofisi tarafından Perşembe günü yayınlanan bir rapora göre, Sağlık ve İnsani Hizmetler Bakanlığı, sağlık sektöründeki siber güvenlik risklerini azaltma konusunda zorluklarla karşı karşıya kaldı.
- Bakanlık, fidye yazılımına özgü siber uygulamaların endüstri tarafından benimsenmesinin izlenmesi veya Nesnelerin İnterneti veya operasyonel teknoloji cihazlarından kaynaklanan risklerin değerlendirilmesi de dahil olmak üzere, hükümet gözlemcisi tarafından daha önce önerilen politikaları uygulamadı.
- GAO’ya göre, HHS bu boşlukları doldurana kadar departman siber güvenlik alanında sektöre etkili bir şekilde liderlik edemeyebilir; bu, sağlayıcılar ve hasta bakımı için potansiyel bir risktir.
Dalış Bilgisi:
Gözlemciye göre, HHS’nin sektörün siber risklerini sınırlandırmaya yönelik belirttiği çabalara rağmen bakanlık, sektörün güvenliğini artırmasına yardımcı olabilecek politikaları uygulamaya koymadı.
Rapor, sağlık sektörünün, yüksek profilli siber saldırı da dahil olmak üzere giderek artan bir siber saldırı ve veri ihlali belasıyla karşı karşıya olduğu bir dönemde geldi. UnitedHealth’e ait teknoloji firması ve talep işlemcisi Change Healthcare bu yılın başlarında.
Düzenleyiciler, HHS’nin riskleri hafifletme konusunda zorluklarla karşılaştığını söyledikleri birkaç örnek buldular.
Bunlardan birinde HHS, hastanelerin siber saldırıları tespit etmek, yanıt vermek ve bunlardan kurtulmak için Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi kapsamındaki uygulamaların yaklaşık %71’ini benimsediğini bildirdi.
Ancak GAO, bakanlığın, sağlık kuruluşları için artan bir tehdit haline gelen, kullanıcıların verilerine erişimini engelleyen bir tür kötü amaçlı yazılım olan fidye yazılımına yönelik çerçevenin belirli standartlarını izlemediğini belirtti.
GAO, “HHS yetkilileri bize çerçevedeki temel kavramların uygulanmasını değerlendirebileceklerini söylemelerine rağmen, bakanlık bunu yapmaya yönelik çabalarına dair kanıt sunmadı” diye yazdı. “Sektörün siber güvenlik uygulamalarını benimsemesi konusunda tam bir farkındalık olmadan HHS, kaynakları ihtiyaç duyulan yere yönlendirmeme riskiyle karşı karşıyadır.”
Ajans, HHS’nin rehberlik belgeleri, eğitim ve tehdit brifingleri gibi destek araçlarının etkinliğini değerlendirmediğini ekledi.
Ayrıca IoT veya operasyonel teknoloji cihazlarından kaynaklanan risklere ilişkin sektör çapında bir değerlendirme yapılmadı.
GAO, bir değerlendirme olmadan HHS’nin gelişen tehditlere karşı hangi yeni güvenlik önlemlerinin gerekli olduğunu bilemeyeceğini söyledi.
Bu arada Medicare ve Medicaid Hizmetleri Merkezleri, devlet kurumlarıyla paylaştığı verileri korumak için siber gereksinimler belirledi ancak bu standartlar, Sosyal Güvenlik İdaresi gibi eyaletlerle yakın çalışan diğer federal kurumlarla çelişiyordu.
Gözlemci raporda, “Çelişkili parametreler devlet yetkililerinin zamanı ve kaynakları üzerine gereksiz bir yük getirebilir” diye yazdı. “Bu da diğer önemli siber güvenlik çabalarına olan ilginin azalmasına yol açabilir.”
HHS, basın saatine kadar yorum talebine yanıt vermedi.