Ülkenin sağlık sistemlerine yönelik artan tehditlerin ortasında, 20’den fazla önde gelen sağlık kuruluşu, sağlık sektörünün üçüncü taraf ekosisteminde siber riski azaltmak için etkili, verimli ve yeni yenilikçi yaklaşımlar belirlemek üzere bir araya geldi.
Health 3rd Party Trust (Health3PT) Girişimi ve Konseyi, üçüncü taraf risk yönetimi sorununu çözmek ve hassas bilgileri koruma misyonunu ilerletmek için standartlar, güvenilir güvence modelleri ve otomatik iş akışları getirmeye kararlıdır.
Sağlık hizmetleri, hassas elektronik hasta kayıtlarının değeri, kritik hayat kurtaran BT sistemleri ve tıbbi cihazlar üzerindeki potansiyel etkisi ve teslimat yapan üçüncü taraf satıcıların ve tedarikçilerin etrafındaki güvenlik eksikliği nedeniyle siber saldırganların en çok hedef aldığı endüstri sektörlerinden biridir. hayati hizmetler.
Bir ankete göre, sağlık kuruluşlarının %55’i geçen yıl üçüncü taraf güvenlik ihlali yaşadı. Bununla birlikte, çoğu sağlık kuruluşunun bu riskleri belirlemek için etkili önlemleri yoktur. Gartner verilerine göre, güvenlik ve risk liderlerinin yalnızca %23’ü üçüncü tarafları siber güvenlik riskine karşı gerçek zamanlı olarak izliyor.
HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin fidye yazılımlarına ilişkin son uyarıları ve CISA, FBI ve NSA’nın Log4j yazılımı tedarik zinciri güvenlik açıklarını azaltmak için geçen Aralık ayında verdiği uyarılar gibi artan hükümet uyarılarının yanı sıra sektörler arası Siber Güvenlik Ortak Performans Hedefleri için beklenen düzenleyici kılavuzluk ile , sağlık kuruluşları, üçüncü taraflarca sağlanan hizmetlerin ve işledikleri ilişkili hassas bilgilerin güvenliğini, bütünlüğünü ve kullanılabilirliğini anlamanın ve sağlamanın yollarını arıyor.
Ne yazık ki, bugünün bu üçüncü taraf risklerini yönetmeye yönelik yöntemleri külfetli ve yetersizdir; her tedarikçi kendi değerlendirmelerini farklı şekilde ve genellikle manuel olarak ele alır; ve doğru güvenlik kontrollerinin yürürlükte olduğunu kanıtlamak için yetersiz güvence programları.
Bu, özellikle sınırlı kaynaklara sahip olan ve genellikle birçok ihlalin meydana geldiği küçük kuruluşlar için geçerlidir.
Buna yanıt olarak Health3PT, bu zorlukların üstesinden gelmek ve ekosistem genelinde daha fazla verimlilik elde etmek için işbirliği yapıyor. Health3PT, satıcılar ve diğer üçüncü taraf hizmet sağlayıcılarla ilişkili bilgi güvenliği risklerini etkili bir şekilde yönetmek için ilk olarak bir dizi yaygın uygulamaya odaklanacaktır.
Bunlar, birden çok en iyi uygulama çerçevesini ele alan, standardizasyonu ve şeffaf güvenceleri ve doğrulamayı destekleyen ve yasal ve düzenleyici gereksinimleri ele alan metodolojileri ve araçları içerir.
Health3PT, ilk çıktısını 2023’ün ilk çeyreğinde yayınlayacak: Sektörün durumunu kıyaslamak için üçüncü taraf risk ölçümleri üzerine araştırma. Buna ek olarak, 2023’te Health3PT çalışma grupları kuracak ve satıcılar, sağlık hizmeti üçüncü taraf risk yönetimi paydaşları ve değerlendirici kuruluşlar için bir Zirve dahil sektör çapında etkinliklere ev sahipliği yapacak.
Health3PT, kilit endüstri paydaşlarından destek alır ve önde gelen 20 sağlık hizmeti sağlayıcısının, sağlık sistemlerinin, sağlık ödeyicilerinin/sigortacılarının ve sağlık hizmeti kuruluşlarının güvenlik ve risk yöneticilerinden oluşur:
- Patricia Yarabinetz, Direktör, Bilgi Risk Yönetimi, AmeriHealth Caritas
- Cindy Shuna, Siber Risk Yönetimi, Amerisource Bergen
- Rick Kratz Direktör, Siber Risk Yönetimi, Amerisource Bergen
- Glen Braden, Müdür, Tasdik Sağlık Danışmanları
- Dr. Omar Sangurima, Baş Teknik Program Yöneticisi, Yönetişim, Risk ve Program Yönetimi, Memorial Sloan Kettering Kanser Merkezi
- Shenny Sheth, CISO Yardımcısı, Centura Health
- Natalie Henderson, İcra Direktörü, Üçüncü Şahıs Risk Yönetimi, CVS
- Eric Sinclair, Başkan Yardımcısı, Bilgi ve Siber Güvenlik, Evolent Health
- Matthew Webb, Başkan Yardımcısı – Ürün Güvenliği, Baş Ürün Güvenliği Sorumlusu, HCA Healthcare
- Brenda Callaway, Bölüm Başkan Yardımcısı, Operasyon Performans Yönetimi, Health Care Service Corporation (HCSC)
- John Chow, CISO, Healthix
- Jeff Lockwood, Kurumsal Teknoloji Hizmetleri Başkan Yardımcısı, HealthStream
- Karin Balsley, Kıdemli Müdür, Bilgi Güvenliği, HealthStream
- Omar Khawaja, CISO, Highmark Health
- Heather Ryan, Proje Yöneticisi, Highmark BCBS
- Joe Dylewski, Siber Veri Koruma Müdürü, Humana
- Purvik Shah, Proje Yöneticisi, Memorial Sloan Kettering Kanser Merkezi
- Walsy Saez-Aguirre, Siber Güvenlik Yönetişimi, Risk ve Uyumluluk Analisti, Memorial Sloan Kettering Kanser Merkezi
- Monique Hart, Bilgi Güvenliği İcra Direktörü, Bilgi Güvenliği İcra Direktörü, Piedmont Healthcare
- Adrian Mayers, Başkan Yardımcısı, CISO, Premera Blue Cross
- Joel Seymour, CISO Yardımcısı, Premera Blue Cross
- Shawna Hofer, CISO, St. Lukes Sağlık Sistemi
- Brian Cayer, CISO, Tufts Medicine
- Alan Labianca-Campbell, Bilgi Güvencesi Direktörü, Tufts Medicine
- John Houston, Başkan Yardımcısı, Bilgi Güvenliği ve Gizlilik, UPMC
- Ryan George, Kıdemli Direktör – IT, IAS, UPMC
- Alex Zhivov, Başkan Yardımcısı, Bilgi Güvenliği, Sanal Sağlık
- Bhavesh Merai, Kıdemli Müdür, Teknoloji, Risk ve Uyumluluk, Walgreens
“Toplum, teslimat hızını talep edecek şekilde gelişti ve bu, sağlık hizmetleri alanında da farklı değil. Ancak, hız için güvenliği feda edemeyiz. Üçüncü tarafları değerlendirmek için standartlaştırılmış ve ölçülebilir bir standart, potansiyel olarak güvenliği artırırken hem hız hem de verimlilik getirecektir. Bu aynı zamanda verimlilikle birlikte maliyetlerin düşmesine de neden olabilir. Premera Blue Cross CISO Yardımcısı Joel Seymour, standartlaştırılmış ve ölçülebilir bir değerlendirme mekanizması, insanların en değerli bilgilerinin güvence altına alınmasında mihenk taşı olacaktır” dedi.
“TPRM’nin sağlık sektöründe bozulduğu açık. Üçüncü taraf risk yönetimine sürdürülebilir bir yaklaşım oluşturmak için sektör olarak bir araya gelmemiz gerekiyor. Kendinden onaylı özel anketleri gönderme ve alma ortak süreci verimsizdir ve potansiyel olarak güvenilmezdir. Güvenilir ve kendinden tasdikli olmayan, yetersiz kontrollere sahip veya ortaya çıkan risk için aşırı yük getiren tedarikçi güvencelerine giden pratik bir yola ihtiyacımız var. Healthix CISO’su John Chow, “Günümüzde standardizasyon eksikliği, farklı soru setleri ve gereksinimler nedeniyle satıcı kafa karışıklığına, kafa karışıklığına, hüsrana ve nihayetinde yanıt eksikliğine neden oluyor” dedi.
“Üçüncü taraf riskini kapsamlı ve sürdürülebilir bir şekilde yönetmek, her iki taraf için de verimli ve etkili çözümler bulmak için sağlık kuruluşları ve tedarikçileri arasında işbirliği yapmayı gerektirir. Bu nedenle Health3PT, Centura Health ve ortaklıklarımız için çok önemlidir. Bunun işe yaraması için daha fazla sağlık kuruluşunun ortak, standartlaştırılmış süreçleri benimsemesine ihtiyacımız var,” dedi Centura Health CISO Yardımcısı Shenny Sheth.