Yönetişim ve Risk Yönetimi
OIG: Standartlardaki Boşluklar, Üçüncü Taraf Denetimleri Kurumları ve Sağlık Sektörünü Riske Atıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
22 Ocak 2026
Denetçiler, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın, birçok bölümü genelinde yönetim ve kontrolleri standartlaştırarak siber tehditlere yanıt verme yeteneğini güçlendirmesi ve aynı zamanda birçok yüklenicisini ve bunların getirdiği riskleri denetleme konusunda daha iyi bir iş çıkarması gerektiğini söylüyor.
Ayrıca bakınız: Bir Hukuk Hizmetleri Firmasının Modern Bir Uzaktan Çalışma Stratejisine İhtiyacı Vardı. Sanal Masaüstü yerine Venn’i seçmek her şeyi değiştirdi.
HHS Genel Müfettiş Ofisi bu hafta yayınlanan iki yeni rapordan birinde, bölüm ve programlar arasında değişen kontrollerle siber güvenliğe parçalı bir yaklaşımın “HHS’nin siber güvenlik risklerini önleme veya bunlara yanıt verme hazırlık çabalarını karmaşıklaştırdığını” yazdı.
Denetçiler gelişmelere dikkat çekti ancak siber güvenlik işlevlerini birleştirme çabalarının “çoğunlukla hâlâ her bölüme ve programa bağlı olduğunu” söyledi.
Buna ek olarak, çok sayıda müteahhit ve diğer üçüncü taraf satıcılardan kaynaklanan üçüncü taraf riskleri, işleri daha da karmaşık hale getiriyor. Denetçiler, “Siber güvenlik çözümlerinin yalnızca departman içinde değil aynı zamanda binlerce HHS yüklenicisi, bağışçı ve diğer dış kuruluşlar tarafından da uygulanması gerekiyor” diye yazdı.
Denetçiler ayrıca bu hafta Kongre’ye sundukları altı aylık raporda siber güvenlik risk yönetimini birinci öncelik olarak ele aldılar. Başarılı bir siber saldırı, departman operasyonlarını tehlikeye atabilir ve aynı zamanda HHS’nin hizmet verdiği bireylerin sağlık ve refahını da potansiyel olarak tehlikeye atabilir.
İyileştirilmiş departman siber güvenliği uzun süredir devam eden bir endişe kaynağıdır. Denetçiler Kasım 2025 tarihli bir raporda “HHS, Bakanlığın misyonunu gerçekleştirmek için gerekli olan verileri ve teknolojiyi nasıl kullandığına ilişkin zorlukları daha da kötüleştiren kalıcı siber güvenlik tehditleriyle karşı karşıyadır” dedi (bkz: Genel Müfettiş, NIH Genomik Projesinde Güvenlik Boşluğunu İşaretledi).
Denetçiler, HHS’deki siber güvenliğin mevcut durumunun tamamen bakanlığın hatası olmadığını söylüyor. “Sektörün eski teknolojiye bağımlılığı ve iş gücü zorlukları da dahil olmak üzere, bakanlığın ele alması gereken yetki veya kaynakların sınırlı olması nedeniyle sorunlar devam ediyor.”
Siber güvenlik ve veri gizliliği konularıyla ilgili güncel olmayan düzenlemeler de sorunlara yardımcı olmuyor.
Denetçiler, HHS’nin “onlarca yıllık HIPAA Gizlilik Kuralı ve HIPAA Güvenlik Kuralı’nı uygulama yeteneğinin, sağlık bilgilerinin korunmasına ilişkin çağdaş gizlilik endişelerini veya elektronik olarak korunan sağlık bilgilerinin güvenliğine yönelik artan riskleri ele almak için yeterli olmayabilir” diye yazdı.
“HIPAA tarafından 1996 yılında kurulan yasal otoriteler bünyesinde çalışan HHS, gizlilik ve güvenlik ihtiyaçları geliştikçe uyum sağlamalıdır.”
Bakanlığın Sivil Haklar Ofisi, Biden yönetiminin son günlerinde 20 yıllık HIPAA güvenlik kuralına yönelik bir revizyon önerisi yayınladı ve benzer şekilde ilk Trump yönetiminin son günlerinde, yaklaşık 30 yıllık HIPAA Gizlilik Kuralı için değişiklik önerileri yayınladı.
Her iki öneri de HHS’nin mevcut düzenleyici gündeminde yer alıyor ancak şu ana kadar OCR, her iki kuralı da sonuçlandırma konusunda nasıl ilerlemeyi planladığını kamuya açıklamadı (bkz: Sağlık Verilerinin Gizliliği, Siber Kayıtlar: 2026’da Neler İzlenmeli?).
Bir HHS sözcüsü, bakanlığın OIG raporlarında öne çıkan sorunların çoğunu halihazırda ele aldığını söyledi.
Sözcü, “HHS, Bakanlığa ve Amerikan halkına daha iyi hizmet vermek için BT ve siber güvenlik sistemlerini düzenliyor, modası geçmiş Biden dönemi sistemlerini modernize ederek HHS genelinde güvenliği, verimliliği ve hesap verebilirliği artırıyor” dedi.