Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
‘Temel’ ve ‘Gelişmiş’ En İyi Uygulamalar Gelecekteki Kural Oluşturma Sürecini Etkileyecek
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
24 Ocak 2024
Sağlık ve İnsani Hizmetler Bakanlığı, sağlık sektörü için gönüllü siber güvenlik performans hedeflerini açıklayan bir kılavuz yayınladı. Belge, Biden yönetiminin Aralık ayında yayınladığı ve hastaneleri ve diğer sağlık kuruluşlarını daha güçlü bir siber güvenlik duruşu benimsemeye teşvik edecek bir stratejinin ana hatlarını çizen bir konsept belgesinin detaylandırılmasının ilk adımıdır.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Rehberlik gönüllü olsa da, çabaya yakın kaynaklar, hedeflerin, sağlık sektörünün bazı kesimleri arasında potansiyel sopa ve havuçla daha iyi siber güvenlik uygulamalarının benimsenmesini teşvik etmeyi amaçlayan HHS kural oluşturma sürecine bilgi vermek için kullanılacağını söyledi.
HHS’nin Stratejik Hazırlık ve Müdahale İdaresi tarafından Çarşamba günü yayınlanan 13 sayfalık yeni Siber Güvenlik Performans Hedefleri belgesi, hem siber güvenlik performansı için “minimum temel uygulamaları özetlemek” hem de “daha gelişmiş uygulamaların benimsenmesini teşvik etmek için” geliştirilmiş hedefleri ayrıntılarıyla anlatıyor.
HHS sekreter yardımcısı Andrea Palm, yaptığı açıklamada, “Sağlık sistemimizin siber tehditlerle başa çıkmasına, gelişen tehdit ortamına uyum sağlamasına ve daha dayanıklı bir sektör inşa etmesine yardımcı olma sorumluluğumuz var” dedi.
“Bu siber güvenlik performans hedeflerinin açıklanması, bu CPG’ler tarafından bilgi verilen HHS politikaları ve programları genelinde yeni uygulanabilir siber güvenlik standartları önermeye çalışırken sektör için ileriye doğru bir adımdır” dedi.
Her iki hedef kümesi de (temel ve geliştirilmiş olanlar), Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi ve Sağlık Sektörü Koordinasyon Konseyi ve HHS’ 405 tarafından geliştirilen Sağlık Sektörü Siber Güvenlik Uygulamaları başucu kitabı da dahil olmak üzere sektör siber güvenlik çerçevelerine, en iyi uygulamalara ve stratejilere dayanmaktadır. (d) siber danışma grubu.
Utah merkezli sağlık hizmeti dağıtım sistemi Intermountain Health’in CISO’su Erik Decker, “Bugünkü yayın, işteki kamu-özel sektör ortaklığının bir örneğidir” dedi. Aynı zamanda HSCC Ortak Siber Güvenlik Çalışma Grubu başkanı ve HHS eş başkanı olan Decker, “Bu CPG’ler, HICP’nin piyasaya sürülmesiyle birlikte beş yıllık bir çalışmadan yararlandı ve temel ve gerekli siber güvenlik uygulamaları konusunda sektörümüze netlik ve yön kazandırdı” dedi. 405(d) siber görev gücü.
HHS, performans hedeflerinin, fidye yazılımı ve diğer yıkıcı siber tehditler de dahil olmak üzere ABD’deki yerel hastanelere yönelik yaygın saldırı vektörlerini doğrudan ele almak üzere tasarlandığını söyledi.
Hedefler “gönüllü” olarak etiketlenirken, HHS, Medicare ve Medicaid programlarındaki katılımcılar ve yetersiz kaynaklı sağlayıcı grupları gibi sağlık kuruluşları için potansiyel sopa ve havuç oluşturmak amacıyla yaklaşan kural oluşturma sürecinde bunlardan yararlanmayı planlıyor. Önerilen uygulamaları uyguladık.
Aralık ayında yayınlanan konsept belgesinde HHS, sağlık kuruluşlarını performans hedeflerini uygulamaya teşvik etmek için iki mali programın oluşturulmasını öngördüğünü söyledi (bkz: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Bunlar arasında, minimum kaynaklara sahip hastaneler gibi yüksek düzeyde ihtiyaç duyulan sağlık hizmeti sağlayıcılarının, “temel” siber güvenlik önlemlerinin uygulanmasıyla ilgili başlangıç maliyetlerini karşılamalarına yardımcı olacak bir ön yatırım programı ve tüm hastaneleri “gelişmiş siber güvenlik uygulamalarına yatırım yapmaya teşvik edecek bir teşvik programı” yer alıyor. Konsept belgesinde ‘geliştirilmiş’ CPG’lerin uygulanması gerektiği belirtiliyor.
Decker, Information Security Media Group’a, HHS hedeflerinin yaklaşan HHS kural oluşturma ve potansiyel zorunluluklar hakkında bilgi sağlayacağını söyledi. “Yetkilerin kural koyma sürecinden geçmesi gerekiyor ve sektörün inceleme ve yorum yapmak için zamanı olacak” dedi.
“Yetersiz hizmet alan kesimin teşvik edilmesinin sağlanması gereken kritik bir adım olacağı anlayışıyla bu süreci destekliyoruz.”
Temel ve Gelişmiş Hedefler
HHS’nin rehberliğinde, “temel hedeflerin”, sağlık kuruluşlarının “siber saldırılardan daha iyi koruyacak, olaylar meydana geldiğinde müdahaleyi iyileştirecek ve kalan riski en aza indirecek bir güvenlik önlemi tabanı oluşturarak” ortak güvenlik açıklarını ele almalarına yardımcı olmayı amaçladığı belirtildi.
Temel hedefler arasında bilinen güvenlik açıklarının azaltılması, e-posta güvenliğinin uygulanması, çok faktörlü kimlik doğrulama, güçlü şifreleme, olay müdahale planlaması, kullanıcı ve ayrıcalıklı hesapların ayrılması, satıcı ve tedarikçi riskinin ele alınması, çalışanlara siber güvenlik eğitimi sunulması ve daha fazlası yer alıyor.
HHS, geliştirilmiş hedeflerin sağlık kuruluşlarının siber güvenlik yeteneklerini geliştirmelerine ve ek saldırı vektörlerine karşı koruma sağlamak için gereken bir sonraki savunma düzeyine ulaşmalarına yardımcı olmayı amaçladığını söyledi.
Bu geliştirilmiş hedefler, varlık envanteri; üçüncü taraf güvenlik açığı açıklamaları ve olay raporlaması; siber güvenlik testleri ve hafifletme; ağ bölümlendirmesi; ilgili tehditlerin, taktiklerin, tekniklerin ve prosedürlerin tespit edilmesi; merkezi günlük toplama; konfigürasyon yönetimi ve bir dizi başka kontrol alanı ve en iyi uygulamalar.
HHS, temel hedeflerin öncelikle kuruluşları kimlik temelli saldırılardan korumaya yönelik nispeten daha düşük maliyetli, yüksek verimli eylemlerden oluştuğunu söyledi. HHS, “Ağ bölümlendirmesi gibi daha yoğun geliştirilmiş hedefler, tehdit aktörlerinin tehlikeye atıldığında kuruluşlar içinde yanal hareket etmesini engelliyor” tavsiyesinde bulundu.
Yeni HHS CPG’lerin çoğunun dayandığı HICP uygulamalarını geliştirmek için son birkaç yılda HHS, CISA ve diğer federal kurumlarla işbirliği yapan HSCC, hedeflerin büyük, orta ve küçük sağlık sağlayıcıları arasındaki tanınırlığı artırdığını söyledi: Siber güvenlik bir hasta güvenliği meselesidir.
HSCC, “Bu sorumluluk, hasta güvenliğini koruma konusunda siber güvenlik sorumluluğunu ulusal bir zorunluluk olarak kabul eden ancak finansal ve operasyonel açıdan kısıtlı olan, kaynakları yetersiz olan sağlık sistemlerine hükümet ve endüstri yardımı ile desteklenmelidir” dedi.
Yeni rehberliğe ek olarak HHS, HHS ve diğer federal kurumlardan belirli siber güvenlik bilgilerine ve kaynaklarına erişim sağlayacak yeni bir “ağ geçidi” web sitesi duyurdu.