HHS'nin Siber Güvenlik Hedefleri Neden Mutlaka Gönüllü Değildir?


Fortified Heath Security'nin sanal bilgi güvenliği sorumlusu Kate Pierce, sağlık sektörü kuruluşlarının, bu öneriler düzenleyici zorunluluk haline gelmeden önce federal düzenleyiciler tarafından belirlenen “gönüllü” temel ve gelişmiş siber güvenlik performans hedeflerini karşılamaya odaklanmaları gerektiğini söyledi.

Pierce, Pazartesi günü Biden yönetimi tarafından yayınlanan 2025 mali bütçe teklifinin onaylanması durumunda, nakit sıkıntısı çeken sağlık kuruluşlarının bile Sağlık ve İnsani Hizmetler Bakanlığı tarafından belirlenen Siber Güvenlik Performans Hedeflerine ulaşma konusunda daha iyi bir şansa sahip olabileceğini söyledi.

“Bütçe, sağlık sektöründe siber güvenliğin iyileştirilmesine 1,3 milyar dolar ayırıyor; yaklaşık 800 milyon doları ise yeterli kaynaklara sahip olmayan kuruluşlarımızı hedefliyor. Bu, bu kuruluşlara bu minimum standartları uygulamaya başlama konusunda güzel bir destek sağlamalı” dedi. Bilgi Güvenliği Medya Grubu, Orlando, Florida'daki Sağlık Bilgi ve Yönetim Sistemleri Topluluğu 2024 konferansında.

HHS tarafından belirlenen temel siber güvenlik performans hedefleri arasında bilinen güvenlik açıklarının azaltılması; e-posta güvenliği, çok faktörlü kimlik doğrulama, güçlü şifreleme ve olay müdahale planlamasının kullanılması; kullanıcı ve ayrıcalıklı hesapların ayrılması, satıcı ve tedarikçi riskinin ele alınması; ve çalışanlara siber güvenlik eğitimleri sunmak.

HHS, geliştirilmiş hedeflerin sağlık kuruluşlarının siber güvenlik yeteneklerini geliştirmelerine ve ek saldırı vektörlerine karşı koruma sağlamak için gereken bir sonraki savunma düzeyine ulaşmalarına yardımcı olmayı amaçladığını söyledi. Bu hedefler, varlık envanteri, üçüncü taraf güvenlik açığı açıklamaları ve olay raporlaması ile siber güvenlik testleri ve hafifletme gibi konuları ele alır.

Pierce'e göre, kuruluşların kısa vadede en azından HHS tarafından belirlenen temel hedefleri, bunları uygulamamanın olası düzenleyici sonuçları ortaya çıkmadan önce karşıladığından emin olması gerekiyor.

HHS'nin bu hedefleri hayata geçirmenin yolları üzerinde çalışması ve önümüzdeki birkaç yıl içinde bunları “gönüllü” standartlardan gereksinimlere geçirmesinin beklendiğini söyledi.

Pierce, “Bunun neye benzeyeceğini göreceğiz, ancak kuruluşları bu minimum hedeflerle başlamaya ve bunların hepsini karşılamaya teşvik ediyorum” dedi.

“Sağlık sektörünün artık siber suçlular için çekici bir hedef olmamasını sağlamak amacıyla bu minimum standardı getirdiğimizden emin olmak için hep birlikte çalışmamız gerekiyor.”

HIMSS Bilgi Güvenliği Grubu ile yapılan bu sesli röportajda (fotoğrafın altındaki ses bağlantısına bakın), Pierce ayrıca şunları da tartıştı:

  • Kötü niyetli ve tesadüfi içeriden gelen tehditlerle mücadele etmek;
  • Ayrıcalıklı hesapları etkin bir şekilde yönetmenin önemi;
  • Sağlık Hizmetlerini Değiştir saldırısının sağlık sektörü üzerindeki etkisi ve bundan sonra olacaklar.

Pierce, Kıdemli Sanal Bilgi Güvenliği Sorumlusu ve Fortified Health Security'deki sübvansiyon programının genel müdürüdür. Küçük, kırsal ve kar amacı gütmeyen sağlık kuruluşlarına özel olarak odaklanarak sağlık hizmetlerinde yirmi yılı aşkın deneyime sahiptir. Pierce, Fortified Health'e katılmadan önce Vermont'ta 25 yataklı bir devlet hastanesi olan North Country Hastanesi'nde uzun süre CIO ve CISO olarak görev yaptı.



Source link