HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
Seçim Sonucu HHS’nin Sağlık Siber Çalışmalarını Nasıl Etkileyebilir?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Ekim 2024
Biden yönetiminin son ayları tamamlanırken, HIPAA’yı uygulamakla görevli kurumdaki düzenleyiciler, sağlık sektörü siber güvenliği açısından kritik önemde gördükleri tamamlanmamış işleri tamamlamak için yarışıyorlar.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Yapılacaklar listesinin bir numarası, 20 yıllık HIPAA Güvenlik Kuralına yönelik bir güncellemedir. Sağlık ve İnsani Hizmetler Bakanlığı, geçen Cuma günü Beyaz Saray’ın Yönetim ve Bütçe Dairesi’ne, 60 günlük kamuoyu yorumuyla birlikte Aralık ayında önerilen kural koyma bildirimini yayınlamak amacıyla kuralda yapılması planlanan değişiklikleri sundu (bkz: Beyaz Saray, HIPAA Güvenlik Kuralındaki Güncellemeleri İnceliyor).
HIPAA Güvenlik Kuralı değişikliklerini uygulamak, sağlık ekosisteminde son birkaç yılda ortaya çıkan ve daha da kötüye giden rahatsız edici ve tehlikeli siber eğilimlerdir.
Microsoft’un bu hafta yayınladığı bir rapora göre sağlık sektörü, fidye yazılımı suçlularının en çok hedef aldığı sektörlerden biri haline geldi ve saldırılar 2015’ten bu yana üç katına çıktı.
HHS Sivil Haklar Dairesi Direktörü Melanie Fontes Rainer, bu hafta HIPAA Zirvesi’nde düzenlenen açılış konuşmasında, sağlık veri ihlallerinden ve özellikle de fidye yazılımlarından etkilenen bireylerin sayısının bu yıl yeni tarihi zirvelere çıkmasının beklendiğini söyledi. Washington, DC, HHS ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün ev sahipliğinde.
Bakanlığın HIPAA İhlali Raporlama Aracı web sitesinin anlık görüntüsü, bu yıl şu ana kadar yaklaşık 167 milyon kişiyi etkileyen 562 büyük ihlalin rapor edildiğini gösteriyor. Bu sayı şimdiden 2023 yılı boyunca bildirilen 745 ihlalden etkilenen yaklaşık 163 milyon kişiyi aştı.
Fontes Rainer, hastane zinciri Ascension’ın Mayıs ayındaki bir fidye yazılımı saldırısından kaynaklanan ihlal bildirimini güncellemesi de dahil olmak üzere, bu yılki ihlal rakamlarının daha da yükseleceğini tahmin etti; bu saldırı, Change Healthcare ihlaline benzer şekilde, başlangıçta etkilenen 500 kişiden oluşan bir yer tutucu rakamla kuruma bildirildi. .
Federal yetkililerin endişe duydukları şey yalnızca yüz milyonlarca kişinin güvenliği ihlal edilmiş, korunan sağlık bilgileri değil. Bu, fidye yazılımlarının ve hastalara sağlık hizmeti sunumuna yönelik benzer saldırıların tehlikeli bir şekilde kesintiye uğramasıdır.
Fontes Rainer, “Sağlık sistemi hastalara hizmet veremezse bunun kimseye faydası olmaz” dedi.
HIPAA Güvenlik Kuralı 1990’ların ortasında esnek ve ölçeklenebilir olacak ve aşırı kuralcı olmayacak şekilde yazılmış olsa da, siber tehdit ortamı çarpıcı biçimde değişti.
Fontes Rainer ve diğer yetkililer, şu anda OMB incelemesi altında olan HIPAA Güvenlik Kuralı’nda önerilen değişikliklerin içerdiği ayrıntıları tartışmayı reddetti. HHS’nin yoğun bir şekilde öngördüğü olasılıklardan biri, kurumun kurumsal çapta kapsamlı ve zamanında bir HIPAA güvenlik riski analizi olarak değerlendirdiği olasılıktır.
HHS OCR yıllardır risk analizini vurguladı ve geçen yıl kurum, risk analizini HIPAA’nın uygulanmasında en önemli önceliklerden biri haline getirdi. Yüzlerce HIPAA uygulama eyleminin merkezinde yetkililerin hatalı, eksik veya eksik olduğunu söylediği güvenlik riski analizleri yer alıyor.
Fontes Rainer bir basın toplantısında gazetecilere verdiği demeçte, “Sivil Haklar Dairesi’nin on yıldan fazla uygulama deneyimine sahip olduğunu ve bizim bu uygulama deneyiminden orijinal HIPAA kuralını hazırlayanların öğrenemeyeceği şekilde şeyler öğrenebileceğimizi söylemek adil bir yaklaşım olur” dedi. zirvede.
“Sağlık sisteminde neye ihtiyaç duyulduğuna dair daha iyi bir anlayışa sahibiz ve bu nedenle risk analizinin gündeme gelmeye devam eden bir konu olduğu açık. Dolayısıyla bunun bir şekilde ele alınmasını bekliyorum çünkü bu, görmeye devam ettiğimiz bir alan. nasıl uygulandığıyla ilgili sorunlar var.”
Başka bir HHS kurumu olan Medicare ve Medicaid Hizmetleri Merkezlerinin, hastaneler gibi belirli sağlık sektörü kuruluşları için mali sopa ve havuç haline gelebilecek şu anda 20 gönüllü “siber güvenlik performans hedefi” ile ilgili olası düzenlemeler üzerinde çalıştığı yaygın olarak kabul ediliyor. CMS, siber güvenlik performansını geri ödemeye bağlamadan önce kongre onayına ihtiyaç duyacaktır.
Son aylarda sağlık sektörü siber güvenliğini iyileştirmenin yollarını öneren bir avuç iki partili yasa tasarısı sunuldu (bkz: Sağlık Hizmetleri Siber Tasarısı ‘Kurumsal Sorumluluk’ Çağrısında Bulundu).
Fontes Rainer açılış konuşmasında zirve katılımcılarına HHS’nin siberle ilgili çeşitli girişimler konusunda hem Beyaz Saray hem de Kongre ile birlikte çalıştığını söyledi.
Bütün Gözler Kasım’da
Bir sonraki başkanlık yönetiminin kendisini mevcut yönetimin doğal bir devamı olarak mı yoksa ona tamamen karşı olan bir yönetim olarak mı görmesi, bekleyen düzenlemenin sonucunu etkileyecektir.
Demokratların adayı Başkan Yardımcısı Kamala Harris kazansa bile, HHS’nin tepesinde yer alacak yeni bir sekreter büyük olasılıkla, potansiyel olarak HHS OCR da dahil olmak üzere kendi ajans direktörlerini işe alacak. Bu da politika, uygulama ve kural koyma önceliklerinde bir değişiklik anlamına gelebilir.
Cumhuriyetçi aday ve eski Başkan Donald Trump’ın kazanması muhtemelen daha da radikal bir değişim anlamına gelecektir. Muhafazakar düşünce kuruluşu The Heritage Foundation tarafından yayınlanan ve büyük ölçüde Trump’ın yörüngesindeki kişiler tarafından yazılan ve finanse edilen ikinci bir Trump yönetimi gündemi olan Project 2025’ten gelen bir öneri, HHS OCR’nin üreme sağlığı bilgilerini içeren HIPAA gizlilik kılavuzunun yürürlükten kaldırılması yönünde bir çağrı içeriyor.
Dört yıl boyunca HHS OCR’ye başkanlık eden Roger Severino, “OCR, Dobbs kararının ardından hastaların mahremiyet endişelerini ele aldığını iddia eden ancak aslında kürtaj lehine ve Dobbs’a karşı siyasallaştırılmış bir beyan olan kürtajla ilgili Haziran 2022 HIPAA kılavuzunu geri çekmeli” diye yazdı. Trump yönetimindeki direktör. Politika manifestosunda şöyle yazdı: “HIPAA rahimdeki hastaları kapsıyor, ancak bu kılavuz onlara hukuka aykırı olarak kişi olmayan kişilermiş gibi davranıyor. Kılavuz gereksiz ve Dobbs’tan sonra kürtajla ilgili ideolojik olarak motive edilen korku çığırtkanlığına katkıda bulunuyor.”
Ne Miras Vakfı ne de Trump-Vance kampanyası, Bilgi Güvenliği Medya Grubu’nun Severino’nun Proje 2025 yazısıyla ilgili yorum talebine hemen yanıt vermedi.
Fontes Rainer, Kasım ayında Beyaz Saray’ı kim kazanırsa kazansın, HHS OCR’nin HIPAA Güvenlik Kuralı için önerilen güncellemeyle yaptığı çalışmanın kalıcı olacağından emin olduğunu söyledi.
Rainer gazetecilere verdiği demeçte, “Yönetim değişikliğinin bunu etkileyeceğini düşünmüyorum” dedi.
“Siber güvenlik bir ulusal güvenlik meselesidir. Binaya yeni bir başkan geldiğinde de değişmez. Bunlar sağlık camiamızı etkileyen konulardır; Sağlık ve İnsani Hizmetler Bakanlığı ile federal ortaklarımız arasında bir önceliktir.” söz konusu.
“Kural yirmi yılı aşkın bir süredir güncellenmedi. Açıkçası, yönetimde bir değişiklik olsaydı burada olmazdım, ancak altyapı ve hastalar için kritik öneme sahip olduğu için çalışmanın devam edeceğine güçlü bir şekilde inanıyorum.” söz konusu.