Veri ihlali bildirimi, veri güvenliği, hükümet
82 Veri Koruma ile ilgili uzun süredir devam eden öneriler, güvenlik hala harekete geçmiyor
Marianne Kolbasuk McGee (Healthinfosec) •
12 Eylül 2025
ABD Sağlık ve İnsan Hizmetleri Bakanlığı, son yıllarda “yüksek riskli” siber güvenlik ve BT yönetimi sorunlarını içeren 82 öneri uygulamadığını, HHS ‘CIO ve çeşitli ajans CIO’larına yönelik yeni bir raporda Hükümet Hesap Verebilirlik Ofisi’ni söyledi.
Ayrıca bakınız: FedRamp ve Stateramp’ı anlamlandırıyor
Tüm açık öneriler HHS’nin CIO veya “bileşen düzeyinde CIO’ların” dikkatini çekiyor. Gao, eklenmemiş önerilerin en az 37’si “hassas” olarak kabul ediliyor.
Açık öneriler iki geniş kategoriye ayrıldı – siber güvenlik ve BT satın alımları ve yönetim.
Açık siber sorunlar arasında bazı sayısallaştırılmış kayıtların ele alınması ve ayrıca ağ izleme ve etkinlik günlüğü hakkında uygulanmamış GAO önerileri bulunmaktadır.
Gao, ulusun siber güvenliğini sağlamak için “HHS’nin kayıtları ve görevini yerine getirmek için kullandığı bilgi sistemlerini güvence altına almak için ek adımlar atması gerekiyor” diye yazıyor.
Örneğin, önceki diğer raporlarda Gao, HHS’ye “düzgün kimliğe kanıtlanmış ve kimlik doğrulanmış bireylerden erişimi ve onay formlarını ne zaman kabul edebileceği ve bu formları bölümün gizlilik programı web sitesinde yayınlamasını ve bu formları bölümün gizlilik programı web sitesinde yayınlamasını önerdiğini söyledi.
Diyerek şöyle devam etti: “HHS bu öneriyi uygulayana kadar, departman kayıtları yanlış açıklamadan yeterince koruyamayacak.”
GAO ayrıca HHS’nin “Yönetim ve Bütçe Ofisi tarafından yönlendirilen tüm etkinlik günlüğü gereksinimlerini tam olarak uygulamasını” daha önce önerdiğini, ancak bu gerçekleşmediğini söyledi.
Gao, “HHS bu öneriyi uygulayana kadar, bölümün siber telleri tespit etmek, araştırmak ve iyileştirmek için sistemlerindeki günlüklerden tam bilgilere sahip olmama riski artmaktadır.”
BT edinme ve yönetimini içeren açık öneriler açısından Gao, HHS’nin HHS ve ajansları için siber bir endişeyi temsil eden Nesnelerin İnterneti envanterini tamamlaması gerektiğini söyledi.
Gao, “IoT’nin bir parçası olarak kabul edilebilecek muazzam farklı cihazlar göz önüne alındığında, HHS’nin bilgi sistemlerine bağlı cihazları tanımlaması ve belgelemesi önemlidir.” Raporda, “HHS bu öneriyi uygulayana kadar, departman kurumsal ortamındaki IoT cihazlarında görünürlük ve IoT siber güvenlik risklerini azaltma yeteneğinden yoksun olacak.” Dedi.
Gao, “Federal ajanslar, operasyonları yürütmek ve temel bilgileri işlemek, sürdürmek ve raporlamak için BT sistemlerine bağlıdır. Bu sistemlerin ve verilerin güvenliği bireysel gizliliği korumak ve ulusal güvenliği sağlamak için hayati önem taşır.” Dedi.
HHS Bilgi Güvenliği Medya Grubuna verilen bir açıklamada, departmanın BT sistemlerini ve siber güvenliğini güçlendirmeye kararlı olduğunu söyledi. HHS, “CIO Clark Minor’un liderliği altında, departman sistemlerimizde en yüksek güvenlik ve performansı sağlamak için istikrarlı bir ilerleme kaydetti.” Dedi.
Minor, Şubat ayında HHS’ye katıldı ve LinkedIn profiline göre Mayıs ayından bu yana CIO rolünü üstlendi. HHS’ye katılmadan önce Minor, Planatir Technology’de uzun zamandır bir çalışandı.
Önceki Sorunlar
Geçen Kasım ayında GAO, HHS hakkında benzer bir rapor yayınladı – ayrıca bölümün son dört yılda yayınlanan önceki raporlarda GAO’nun önceki siber ile ilgili önerilerinden birkaçını hala uygulamadığını belirtti.
Daha önce dikkat çeken sorunlar, HHS’nin sağlık ve halk sağlığı için fidye yazılımı risklerini azaltmayı amaçlayan çeşitli girişimlerin performansını izlemesini içeriyordu (bkz: bkz: GAO: HHS’nin sağlık sektörü siberinde daha iyi lider olması gerekiyor).
En son GAO raporu, Kasım 2024 raporu tarafından kabul edilmeyen önerilerin kapatılıp kapatılmadığını göstermiyor.
Gereken Kritik Eylem
GAO’nun yeni raporu, sağlık CIO’ları ve CISOS’un profesyonel bir organizasyonu olan Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji Federal İşler Direktörü Chelsea Arnone, HHS’deki siber güvenlik güvenlik açıklarını ele almanın öneminin altını çizmeye devam ediyor.
“Kritik sağlık ve kişisel verilerin görevlisi olarak, HHS’nin sistemlerini koruma ve güvence altına alma yeteneği doğrudan hastaları, sağlayıcılar ve daha geniş sağlık sektörünü etkiliyor” dedi.
Arnone, “Bu boşlukları kapatarak departman güveni güçlendirebilir, sektörümüzde esneklik standardını belirleyebilir ve en önemlisi hasta verilerini koruyabilir.” Dedi.
“Siber güvenlik hasta güvenliğidir ve bu ortak sorumluluğu sağlayıcılara ek düzenleyici yük getirmeden güvenliği güçlendirecek şekilde ilerletmek için yönetim ile çalışmaya devam etmeyi dört gözle bekliyoruz.”
Sağlık Bilgi ve Yönetim Sistemleri Derneği’nde Siber Güvenlik ve Gizlilik Kıdemli Müdürü Avukat Lee Kim, HHS’nin GAO’nun siber kaygıları listesini ele almasının neden hayati önem taşıdığına dair benzer bir değerlendirme sunuyor.
Yeni başlayanlar için, HHS sistemleri hassas verileri birçok ajans aracılığıyla ele alıyor. Bu, Medicare aracılığıyla yaşlıların verilerini, Medicaid aracılığıyla düşük gelirli bireyler, Ulusal Sağlık Enstitüleri ve Gıda ve İlaç İdaresi tarafından tıbbi araştırmalar, Hint Sağlık Hizmeti aracılığıyla yerel nüfus ve Hastalık Kontrol ve Önleme Merkezleri aracılığıyla ulusal halk sağlığı gözetimini ve stratejik hazırlık ve yanıt için yönetimi içerir.
“Siber güvenlik önerileri uygulanmazsa, riskler kimlik hırsızlığı ve sahtekarlıktan ulusal güvenlik tehditlerine ve acil durum müdahalesine kadar değişebilir.” Dedi.
Ayrıca, HHS sağlık ve halk sağlığı için sektör risk yönetimi ajansıdır. Diyerek şöyle devam etti: “Bu nedenle, örnek olarak önderlik etmeli ve sağlam siber güvenlik için hastaneler, sigorta şirketleri, araştırmacılar, eyalet ve yerel sağlık kuruluşları için standardı belirlemelidir.”
Kritik siber güvenlik önerileri uygulanmadığında, tehlikede olan şey, kuruluşun misyonunu, kaynaklarını ve itibarını koruma yeteneği olduğunu söyledi. “Güçlü korumalar olmadan, hassas bilgiler ortaya çıkabilir, operasyonlar bozulabilir ve kamu güveni zayıflayabilir.”