HHS’nin Sağlık Sektörü Siberinde Daha İyi Bir Lider Olması Gerekiyor

Geçtiğimiz hafta yayınlanan Hükümet Sorumluluk Ofisi raporunda, HHS’nin, GAO’nun son dört yılda yayınlanan önceki raporlarda yer alan, sağlık hizmetleri ve halk sağlığına yönelik fidye yazılımı risklerini azaltmayı amaçlayan çeşitli girişimlerin performansının izlenmesi gibi önceki tavsiyelerinin birçoğunu henüz uygulamadığı belirtildi.

GAO, “Bununla birlikte, önceki çalışmalarımız bakanlığın sektörün fidye yazılımı azaltma uygulamaları uygulamasını yeterince izlemediğini ortaya çıkardı” dedi.

Örnek olarak Ocak 2024’te GAO, HHS’nin ABD hastanelerinin siber güvenliğine ilişkin bir analizin sonuçlarını yayınladığını bildirdi.

GAO, “Diğer hususların yanı sıra, analiz, katılımcı hastanelerin Ulusal Standartlar ve Teknoloji Enstitüsü Siber Güvenlik Çerçevesi’nin tanımlama, tespit etme, koruma, yanıt verme ve kurtarma işlevsel alanlarının yüzde 70,7’sini benimsediklerini kendi kendilerine değerlendirdiklerini ortaya çıkardı.” diye yazdı.

Ancak gözlemci kurum, GAO’nun geçen hafta yayınladığı son rapor sırasında HHS’nin çerçevede belirtilen fidye yazılımına özgü uygulamaların benimsenmesini henüz takip etmediğini söyledi.

“HHS yetkilileri bize çerçevedeki temel kavramların uygulanmasını değerlendirebileceklerini söylese de bakanlık bunu yapmaya yönelik çabalarına dair kanıt sunmadı. Sektörün siber güvenlik uygulamalarını benimsemesi konusunda tam bir farkındalık olmadan, HHS kaynakları yönlendirememe riskiyle karşı karşıyadır. ihtiyaç duyulan yerde” diye yazdı GAO.

Önceki raporlarda yer alan ve GAO’nun son raporu sırasında HHS’nin henüz uygulanmadığı diğer GAO tavsiyeleri arasında şunlar yer almaktadır:

• HHS, Siber Güvenlik Altyapısı ve Güvenlik Ajansı ve sektör kuruluşlarıyla koordinasyon içinde, fidye yazılımı riskinin azaltılmasına yardımcı olma konusundaki desteğinin etkinliğini ölçmek için değerlendirme prosedürleri geliştirmelidir;
• HHS, IoT ve OT cihazlarını ve bu cihazların sağlık sektörünün siber ortamına yönelik oluşturduğu risk düzeyini ele alan, sektör çapında kapsamlı bir siber güvenlik risk değerlendirmesi yapmalıdır;
• HHS’nin Stratejik Hazırlık ve Müdahale İdaresi, siber güvenliği iyileştirmek için önde gelen işbirliği uygulamalarını tam ve tutarlı bir şekilde göstermek için harekete geçmelidir;
• HHS’nin Medicare ve Medicaid Hizmetleri Merkezleri, devlet kurumları için siber güvenlik gereklilikleri arasında tutarlılık sağlamak amacıyla güvenlik politikasında yapılacak revizyonlar konusunda ilgili federal kurumlardan girdi talep etmelidir ve CMS, diğer federal kurumlarla koordinasyonu en üst düzeye çıkarmak için değerlendirme politikalarını revize etmelidir.

HHS, Bilgi Güvenliği Medya Grubu’nun GAO bulgularına ilişkin yorum yapma talebine hemen yanıt vermedi.

Harekete Geçmek

Bununla birlikte GAO, HHS’nin sağlık sektöründe siber güvenliği artırmak için çeşitli başka eylemlerde bulunduğunu söyledi.

Bu faaliyetler arasında – GAO tarafından son raporda özel olarak belirtilmese de – Biden yönetimi tarafından geçen Aralık ayında yayınlanan bir konsept belgesinde belirtildiği üzere, kuruluşları gönüllü siber güvenlik performans hedeflerini uygulamaya ikna etmeye çalışan HHS yer alıyor.

HHS ayrıca, CMS’den gelecek potansiyel mali teşvikler ve cezalar yoluyla bu CPG’leri belirli hastaneler için zorunlu kılmayı planladığını da söylemişti (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).

Ancak Biden yönetimi önerilen düzenlemeleri hâlâ yayınlamadı ve ikinci Donald J. Trump yönetiminin 20 Ocak’ta HHS’yi devralmasıyla birlikte, bu tekliflerin yeni HHS liderliğine geçişten önce yayınlanması ihtimali giderek azalıyor. Trump, HHS’ye liderlik etmek üzere Robert F. Kennedy Jr.’ı ve HHS’nin Medicare ve Medicaid Hizmetleri Merkezlerinin yöneticisi olarak Dr. Mehmet Öz’ü aday gösterdi.

Bu arada, HHS’nin Sivil Haklar Ofisi, sağlık sektörü siber güvenliğini destekleme çabasının bir parçası olarak 20 yıllık HIPAA Güvenlik Kuralını güncellemek için önerilen kural koyma bildirimini yıl sonuna kadar yayınlamayı planlıyor (bkz: Beyaz Saray, HIPAA Güvenlik Kuralındaki Güncellemeleri İnceliyor).

HHS OCR’nin Beyaz Saray Yönetim ve Bütçe Dairesi tarafından incelenmekte olduğunu söylediği önerilen kural, HHS kesinleşmiş bir kural yayınlamaya karar vermeden önce 60 gün boyunca kamuoyunun yorumuna açık olacak.

Ancak bu, kural oluşturma işinin bir sonraki aşamasını Trump’ın yeni gelen HHS ekibine bırakıyor ve HIPAA güvenlik kuralı güncellemeleriyle ilerleyip ilerlemeyeceği yeni yönetime bağlı olacak.

GAO, raporunda HHS’nin CISA ile yaptığı çalışmalara atıfta bulunarak, sağlık hizmeti CISO’ları ve CIO’lardan oluşan profesyonel bir dernek olan Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji, HHS ile CISA arasında ve sağlık sektörüyle devam eden işbirliğine önemli bir ihtiyaç olduğunu söyledi.

CHIME’ın hükümet ilişkilerini yöneten Mari Savickis, bu tür işbirliklerinin, özellikle tehdit ortamının giderek daha karmaşık hale gelmesi nedeniyle sağlık ekosistemindeki sağlayıcılar ve diğer gruplar için yararlı olduğunu söyledi.

“Sağlayıcılar için en önemli şey, kaynaklara erişime ihtiyaç duyduklarında veya bir siber olayla başa çıkma konusunda yardıma ihtiyaç duyduklarında başvurabilecekleri tek bir yere sahip olmaktır” dedi. Aslında, CHIME’nin 2024 yılı Most Wired anket verilerine göre, ankete katılanların %92’sinin CISA’dan gelen bilgilere güvendiğini söyledi.

Bu arada Savickis, CHIME’ın GAO’nun sektör çapında bir siber risk değerlendirmesinin gerekliliği konusundaki tavsiyesine katıldığını söyledi. “HHS bu çalışmayı üstlendiklerini söyledi ancak bugüne kadar bu kamuya açıklanmadı” dedi.

“Bu bilgi, sağlık ekosistemimizdeki, ‘başarısız olmaları’ durumunda sağlık sektörünün geniş bir alanı üzerinde kademeli ve olumsuz etkileri olacak kadar büyük veya bütünsel olan varlıkları tespit etmek için gereklidir.”