Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
Sağlık endüstrisi dernekleri, önerilen siber görevlerin ‘şaşırtıcı’ olduğundan şikayet ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
27 Şubat 2025
Biri sağlık cisos ve CIO’larını temsil eden yedi büyük endüstri grubu, Trump yönetimini Biden yönetiminin son haftalarında yayınlanan 20 yaşındaki HIPAA güvenlik kuralına önerilen bir güncellemeyi iptal etmeye çağırıyor. Gruplar, değişikliklerin uygulanması için sağlık sektöründeki maliyet ve düzenleyici yükün “şaşırtıcı” olacağını söylüyor.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Başkan Donald Trump ve ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sekreteri Robert F. Kennedy Jr., Sağlık Bilgi Yönetimi Yöneticileri ve Tıbbi Grup Yönetim Derneği ve diğer beş çeşitli sağlık derneklerine mektupta, önerilen HIPAA güvenlik kuralına muhalefetlerinde “birleştirildiklerini” söyledi.
“İdareyi bu Biden dönemi düzenlemesini yeniden gözden geçirmeye, mümkün olan en kısa sürede iptal etmeye ve listelenen kuruluşlarla etkileşime geçmeye teşvik ediyoruz. [on the letter] Daha dengeli bir yaklaşım geliştirmek için – sağlık sektörüne aşırı yük uygulamadan siber güvenlik endişelerini ele alan biridir. “
Sağlık sektörünün hasta bilgilerini korumak için güçlendirilmiş bir siber güvenlik duruşuna ihtiyaç duyduğunu kabul etseler de, Aralık ayı sonlarında Biden yönetimi tarafından açılan ve 6 Ocak’ta Federal Kayıt’ta yayınlanan önerilen kural yapımında yer alan gereksinimler ve zaman çizelgesi “mantıksız” idi.
Mektup, “Bu düzenleme ile ilişkili fonlanmamış görevler, hastaneler ve sağlık sistemleri üzerinde gereksiz bir finansal zorlama getirecektir.” Dedi.
“Ayrıca, bu teklif ilerlerse, sağlık hizmetlerinde inovasyonu bastıracağına inanıyoruz” dedi. “Sıkı gereksinimler ve hızlı uygulama zaman çizelgesi, hasta bakımını ve operasyonel verimliliği artırmak için gerekli olan yeni teknolojilerin ve uygulamaların geliştirilmesini ve benimsenmesini engelleyebilir.”
Önerilen düzenlemeler, yirmi yılı aşkın bir süredir HIPAA güvenlik kuralının ilk büyük güncellemesidir. Kabul edilirse, değişiklikler şifreleme ve çok faktörlü kimlik doğrulamasını gereksinimlere dağıtma gibi bazı üst düzey önerileri gerektirir (bkz:: Beyaz Saray, HIPAA Güvenlik Kuralı Güncellemesini Temizliyor).
Diğer HIPAA Güvenlik Kuralı önerilerinin uzun listesi, güvenlik riski analizinin nasıl yapılacağı konusunda daha fazla özgüllük; düzenlenmiş firmaların yıllık teknoloji varlık envanteri ve ağ haritası hazırlama yetkileri; ve iş ortaklarının kuralın gerektirdiği teknik önlemleri kullandıklarını en az 12 ayda bir doğrulama gereksinimleri.
‘Gerçekçi olmayan’ açıklamalar
MGMA, tıbbi uygulama yöneticileri ve diğer liderlerin profesyonel birliği olan MGMA, TROMP yönetimini önerilen kuralı iptal etmeye çağırıyor “çünkü yazılı olarak, sürdürülebilirliklerini tehdit edecek tıbbi gruplara önemli finansal ve idari yükler getirecek” dedi.
Gilberg, “Önerilen kural karmaşık yeni gereksinimleri içeriyor, güvenlik kuralının önceki esnekliklerini ortadan kaldırıyor ve önemli zaman, para ve personel yatırımları gerektiren gerçekçi olmayan son teslim tarihleri uyguluyor.”
“En önemlisi, önerilen kural hem hükümet hem de özel sektör için verimsizdir ve sağlık sektöründe siber güvenliği etkili bir şekilde iyileştirmez” dedi.
HHS’nin Sivil Haklar Ofisi’nden HIPAA güvenlik kuralına yönelik önerilen güncelleme, dört yıl boyunca büyük sağlık verileri ihlallerinin hacminde – özellikle fidye yazılımları gibi hackleme olaylarını içerenler arasında istikrarlı ve rahatsız edici bir artış yaşadığı bir Biden yönetiminin kuyruk ucunda yayınlandı.
Şubat 2024, UnitedHealth Group’un değişim Sağlık BT hizmetleri birimine, binlerce sağlık kuruluşunun işini ve klinik süreçlerini aylarca bozan ve sağlık verileri uzlaşmasıyla sonuçlanan fidye yazılımı saldırısını da içeriyordu (bkz: bkz: bkz: bkz: bkz: bkz: Healthcare’in mega saldırısını değiştir: 1 yıl sonra).
HIPAA güvenlik kuralına yönelik önerilen güncelleme 7 Mart’a kadar kamuoyuna açıktır. Perşembe günü Federal Hükümete çevrimiçi olarak gönderilen 1.919 yorumdan bazılarında ISMG tarafından nedensel bir bakış, teklifin ağır bir eleştirisini göstermiştir.
Kuzeydoğu Georgia Sağlık Sistemi’nden bir yorumcu, “Bu siber güvenlik seviyesine ulaşmak için önemli kaynaklar var.” “Sistemimizde sadece hesaplama gücünün en az dört katına ihtiyacımız olacaktı. Önerilen şey, ödeme yeteneklerine bakılmaksızın tüm hastalara hizmet etmek için finansal zorlanan çoğu sağlık sistemi için elde edilmesi imkansız olacaktır.”
Syracuse Nefroloji Ortakları tarafından gönderilen bir yorum, “Bu, küçük tıbbi uygulamalara aşırı derecede külfetli ve onları işten çıkaracak ve tehlikeli bir etkiye sahip olacak” dedi.
Yine de, bazı endüstri grupları teklifler hakkında neredeyse olumsuz değildi. DirectTrust, sağlık hizmetlerinde “güvenilir” güvenli bir mesajlaşma protokolü etrafında standartlar geliştiren kar amacı gütmeyen, satıcı açısından nötr bir ittifaktır, “düzenlenmiş varlıklar için beklentilerin ‘zemini yükseltmek için’ zemini yükseltmek için HIPAA güvenlik kuralını güncelleme zamanının geldiği fikrini destekliyor.
Ancak DirectTrust’un ana şikayetleri – diğer yorumculara benzer – özellikle daha küçük sağlık kuruluşları için olası ağır uyum maliyetine odaklanmıştır – ve sıkı zaman çizelgesi.
İttifak, “DirectTrust, nihai kuralın yayınlanmasından 180 gün sonra uyum tarihinin birçok kuruluşun uyması için çok agresif olabileceğine inanıyor.” Dedi. Diyerek şöyle devam etti: “Özellikle yeni olan veya uygun şekilde uygulamak için ek zaman gerektiren belirli gereksinimler için 360 günün daha makul olmasını öneriyoruz.”
Diğer teklifler
Aralık 2023’te – Biden yönetiminin HIPAA Güvenlik Kuralı güncellemelerini yayınlamasından yaklaşık bir yıl önce HHS, sağlık sektörü için 10 gönüllü “esas” ve 10 “geliştirilmiş” siber güvenlik performans hedeflerini açıklayan bir konsept makalesi yayınladı (bakınız: Siber’i desteklemek için sağlık sektöründe dalga çubukları, havuç).
HHS, CPGS’yi birçok hastane için yeni gereksinimler haline getirecek düzenlemeler yapma fikrini ortaya çıkardıktan kısa bir süre sonra. Ancak HHS, Biden yönetimi ofisten ayrılmadan önce bunu yapmadı.
Temel CPG’ler, çok faktörlü kimlik doğrulama ve güçlü şifreleme gibi güvenlik kontrollerini içerirken, geliştirilmiş CPG’ler ağ segmentasyonu ve varlık envanterini içerir.
Sağlık CIO’ları ve CISOS Derneği Chime Federal İşler Direktörü Chelsea Arnone, “HHS CPG’leri endüstri ile geliştirildi – ancak; güvenlik kuralı teklifi bunları anlamlı bir şekilde dahil etmedi.” Dedi.
“Aynı zamanda, temel ve geliştirilmiş CPG’lerin ihtiyaç duyacağı şeyin çok ötesine geçti. Onları karşılamak için ihtiyaç duyanlar için finansman eşlik eden adım adım bir yaklaşımla CPG’leri destekledik. Bu teklifle gördüğümüz şey bu değil.” Dedi.
Yetkili, önerilen yeni HIPAA güvenlik kuralı gereksinimlerinin çoğunun, sektörün siber güvenlik duruşunu güçlendirmek ve geliştirmek için anlamlı yollarda karşılık gelen bir artış olmadan aşırı külfetli olacağını söyledi.
“Üyelerimizin mevcut siber güvenlik en iyi uygulamalarının yansıtılmasını sağlayan bir yaklaşımı desteklediğini görebiliyor ve gelişen tehditlere uyum sağlama esnekliğini korurken, güvenlik sonuçlarını iyileştirmek yerine uyumluluğu karmaşıklaştırabilecek gereksiz veya çelişkili gereksinimlerden kaçındı.” Dedi.
Diyerek şöyle devam etti: “Trump yönetiminin, gerçek dünyadaki siber güvenlik operasyonlarıyla fizibilite ve uyum sağlamak için üyelerimiz ve diğer endüstri uzmanlarımızla etkileşime geçeceğinden ümit ediyoruz.”
HHS, ISMG’nin grupların mektubu hakkındaki yorum talebine hemen yanıt vermedi.
Chime ve MGMA’nın yanı sıra, yönetime mektubu imzalayan diğer gruplar arasında Amerikan Sağlık Derneği, Amerikan Tıp Kolejleri Birliği, Amerikan Hastaneleri Federasyonu, Sağlık İnovasyon İttifakı ve Ulusal Yardımlı Yaşam Merkezi yer alıyor.