HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
Uzmanlar: Yeni Yetkiler Birçok Kuruluş İçin Zor ve Pahalı Olabilir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
2 Ocak 2025
Uzmanlar, sağlık sektörü için önerilen federal siber güvenlik düzenlemelerinin, birçok kuruluş için zor ve pahalı ağır yük anlamına gelebileceğini söyledi.
Ayrıca bakınız: Netskope HIPAA Haritalama Kılavuzunun Kullanımı
ABD Sağlık ve İnsani Hizmetler Bakanlığı Cuma günü, yirmi yılı aşkın bir süredir ilk büyük güncelleme olan HIPAA Güvenlik Kuralının kapsamlı bir şekilde yenilenmesine yönelik planlarını yayınladı. Teklifleri arasında şifreleme ve çok faktörlü kimlik doğrulamanın dağıtılması gibi bazı üst düzey önerileri gereksinimlere dönüştürmek de yer alıyor (bkz: Beyaz Saray HIPAA Güvenlik Kuralı Güncellemesini Onayladı).
WilmerHale hukuk firmasından gizlilik avukatı Kirk Nahra, “Bu, Güvenlik Kuralının temelden yeniden yazılması ve kuralın tüm yönünde genel bir değişikliktir” dedi.
“Bu, kurala tabi çok çeşitli kuruluşların kendi özel durumlarında uygun prosedürleri benimsemelerine izin vermek için tasarlanmış süreç odaklı bir yaklaşımdan, çok daha düzenli bir genel yaklaşıma doğru gidiyor” dedi.
Uzun teklif listesi, güvenlik riski analizinin nasıl yürütüleceği konusunda çok daha fazla spesifiklik içermektedir. Düzenleyiciler, endüstrinin risk analizi performansının uzun süredir devam eden bir zayıflık olduğunu ve ihlal araştırmaları ve uyumluluk denetimleri sırasında sıklıkla dile getirilen bir nokta olduğunu söylüyor.
Teklif, düzenlemeye tabi firmaların yıllık bir teknoloji varlık envanteri ve ağ haritası hazırlamasını ve iş ortaklarının en az her 12 ayda bir, kuralın gerektirdiği teknik önlemleri uygulamaya koyduklarını doğrulamasını gerektirecek. HIPAA tarafından düzenlenen herhangi bir kuruluşun, ilgili bilgi sistemleri ve verilerin kaybını 72 saat içinde düzeltmek için yazılı prosedürler oluşturması gerekecektir.
BakerHostetler hukuk firmasından düzenleme avukatı Sara Goldstein, “Kapsam dahilindeki birçok kuruluş ve iş ortağının verilere erişimi mümkün olan en kısa sürede yeniden sağlama planları var” dedi.
“Ancak gerçekte, öngörülemeyen sorunlar nedeniyle kuruluşların eski haline getirilmesi bazen çok daha uzun sürebilir ve 72 saatlik bir gerekliliğin uygulanması, kapsam dahilindeki çoğu kuruluş ve iş ortağı için muhtemelen gerçekçi değildir, çünkü bir olayın gerçekleştiğini doğrulamak bundan daha uzun sürebilir. kontrol altına alınır ve sistemlere erişim çok hızlı bir şekilde yeniden sağlanırsa ikinci bir olayın meydana gelme riski vardır.”
Önerilen kural güncellemesi aynı zamanda en az altı ayda bir güvenlik açığı taraması ve en az 12 ayda bir sızma testi yapılmasını da gerektiriyor; ağ bölümlendirmesi gerektirir; ve elektronik korumalı sağlık bilgilerinin ve ilgili elektronik bilgi sistemlerinin yedeklenmesi ve kurtarılmasına yönelik ayrı teknik kontrolleri zorunlu kılar.
Mevzuatın yenilenmesi, HHS’nin büyük sağlık verileri ihlallerine ilişkin raporların 2018 ile 2023 arasında %102 oranında arttığını ve bu olaylardan etkilenen bireylerin sayısının, özellikle bilgisayar korsanlığı ve fidye yazılımı saldırılarındaki artış nedeniyle %1.002 oranında arttığını gördüğü dönemde gerçekleşti. 2024 yılında yalnızca bir bilgisayar korsanlığı olayı (UnitedHealth Group’un Change Healthcare BT hizmetleri birimine yapılan fidye yazılımı saldırısı) 100 milyon kişiyi etkiledi.
HHS, önerilen kurala atfedilebilecek ilk yıl maliyetlerinin toplamının yaklaşık 9 milyar dolar olacağını tahmin ediyor. HHS, teklifte “Bu maliyetler, düzenlemeye tabi kuruluşlar ve düzenleyici eylemlerde bulunan sağlık planı sponsorlarıyla ilişkilidir” diye yazdı. HHS, “İki ila beş yıl arasında, yaklaşık 6 milyar dolarlık tahmini yıllık maliyetler, yinelenen uyumluluk faaliyetlerinin maliyetlerine atfedilebilir” dedi.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin güvenlik şefi Errol Weiss, “Bu hükümleri yerine getirmenin maliyeti çok büyük olacak” dedi. “Bütün bunları karşılayacak para nereden geliyor? Bu, ihlal cezalarından kaçınılarak gelecekte yapılacak tasarruflardan olamaz. Mali açıdan zor durumdaki sağlık hizmeti sağlayıcıları, özellikle de küçük kırsal hastaneler, bu yeni önerileri destekleyecek kaynaklara sahip değil.” söz konusu.
Weiss, sağlık hizmeti sağlayıcılarının uygun teknolojiyi edinebilmeleri ve daha da önemlisi ağlarını yeterince korumak için deneyimli siber güvenlik uzmanlarını işe alabilmeleri ve elde tutabilmeleri için bunun gibi düzenleyici gerekliliklerin finansman desteğiyle birlikte gelmesi gerektiğini söyledi.
Polsinelli’den düzenleme avukatı Iliana Peters, düzenleyicilerin özellikle küçük ve orta ölçekli uygulamalara uyum maliyetini hafife aldıklarını söyledi. “Bu çabanın muhtemelen Başkan Biden’dan kaynaklandığı göz önüne alındığında, bir sonraki yönetime dayanıp dayanamayacağını merak ediyorum” dedi.
6 Ocak’ta Federal Sicil’de yayınlanması planlanan önerilen kural, 60 gün boyunca kamuoyunun yorumuna açık olacak. Yorumları değerlendirdikten sonra HHS OCR, nihai kuralla nasıl ilerleneceğine karar verecek. Ancak Trump yönetimi ve yeni HHS liderliğinin bu ayın sonunda göreve gelmesiyle önerilen kuralın kaderi belirsiz.