Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri, HIPAA/HITECH
Ortak Zayıf Yönler Sağlık hizmeti sağlayıcıları, düzenleyicilerin gazabından kaçınmak için üstesinden gelmelidir
Marianne Kolbasuk McGee (Healthinfosec) •
19 Ağustos 2025
Federal düzenleyiciler, HIPAA tarafından düzenlenen kuruluşları, kapsamlı, işletme çapında ve zamanında olmasını sağlamak için güvenlik riski analizlerini geliştirmek için zorladılar, böylece veri ihlalleri olmadan önce güvenlik sorunlarını belirleyebilirler.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Sağlık ve İnsan Hizmetleri Dairesi Düzenleyicileri, farkındalık kampanyaları, rastgele denetimler, ihlal araştırmaları ve para cezaları ve düzeltici eylem planları da dahil olmak üzere artan icra eylemleri yoluyla sağlık hizmetlerinde zayıf risk analizi durumunu ortadan kaldırmıştır.
Peki, neden bu kadar çok kuruluş bu en iyi HIPAA önceliği ile mücadele ediyor?
Uzmanlara göre, birçok sağlık kuruluşu bir şekilde risk analizi hakkında mesaj alamadı veya egzersizi tamamladılar, ancak yine de PHI varlıkları üzerinde iyi bir envanteri yok ya da bilgiler kederli bir şekilde güncel değil.
Güvenlik ve gizlilik firması Clearwater danışmanlık hizmetleri başkan yardımcısı Dave Bailey, “Kuruluşlar modası geçmiş varlık envanterlerine güveniyor, üst düzey incelemelerin yeterli olduğunu varsayıyor veya süreci risk yönetiminin yaşayan bir parçası yerine ‘kutu kontrol’ uyumsuzluğu olarak ele alıyor.” Dedi.
Eylemsizlik maliyeti
HHS’nin on yılı aşkın bir süredir sivil haklar ofisi, ajansın denetimlerinde ve ihlal araştırmalarında, hatalı HIPAA güvenlik riski analizi, sağlık hizmeti sağlayıcıları ve iş ortakları arasında en yaygın olarak bulunan zayıflık olarak dikkat çekti.
Geçen Ekim ayında, HHS OCR, risk analizine odaklanmasını daha da yoğunlaştırdı ve HIPAA Uygulama Programında en iyi girişim olarak adlandırıldı.
O zamandan beri, ajans, HHS OCR müfettişlerinin ihlal edilen kuruluşlarda zayıf veya var olmayan HIPAA güvenlik riski analizleri buldukları durumlarda yaklaşık bir düzine yerleşim ve finansal ceza vermiştir.
HHS OCR, Pazartesi günü bu tür en son eylemi duyurdu – 170.000 kişiyi etkileyen 2019 fidye yazılımı ihlalinde New York merkezli muhasebe firması BST & Co. CPAS LLP ile 175.000 dolarlık bir finansal uzlaşma ve düzeltici eylem planı (bkz: bkz: bkz: Muhasebe firması, HIPAA fidye yazılımı ihlali için 175 bin dolar ödüyor).
HIPAA İcra Ajansı – ihlal araştırmalarının çoğunda olduğu gibi – BST’nin “elektronik korumalı sağlık bilgilerinin gizliliğini, bütünlüğünü ve mevcudiyetine potansiyel riskleri ve güvenlik açıklarını belirlemek için doğru ve kapsamlı bir risk analizi yapamadığını” belirledi.
Bazı uzmanlar, HHS OCR prodding HIPAA tarafından düzenlenen firmaların eylemlerini temizlemek için yıllarca süren kapsamlı ve doğru risk analizinin hala çatlaklardan düştüğünü söylüyor.
Gizlilik ve güvenlik danışmanlığı firması TW-Security ortağı ve baş danışmanı Wendell Bobst, “Birincisi, bazı kuruluşlar ya radar altında uçabileceğine inanarak ya da bir tane yürütecek kaynaklara sahip olmadıklarına inanarak bir risk analizi yapmıyorlar.” Dedi. “İkincisi, bazı kuruluşların HIPAA uyumluluğu hakkında bir boşluk analizi yaptığını gördük. Bu bir risk analizi değil” dedi.
Çoğu zaman, hem HIPAA kapsamlı kuruluşlar hem de iş ortakları risk analizlerinde “, hukuk firması Polsinelli’nin düzenleyici Attorey Iliana Peters’ı oluşturan, alan, bakım yapan veya ileten tüm işletme ‘varlıklarının’ ve satıcıların envanterinin önemli ve temel ilk adımını kaçırdı.
“Başka bir deyişle, bu tür varlıklar tüm sistemleri – cihazlar, uygulamalar, sunucular vb. “O zaman, kurumsal risk analizi için NIST 800-30 gereksinimlerini izlemelidirler” dedi.
“HIPAA risk analizi HIPAA gereksinimlerinin bir denetimi değildir ve işletme satıcılarından HIPAA güvenlik kuralının gereksinimlerinin bir listesini alırsa paralarını boşa harcadılar.” Dedi. “Risk analizi, varlıklarda ve satıcılardaki EPHI’yi izlemeli ve bu varlıklara ve satıcılara uygulanan belirli kontroller göz önüne alındığında riski değerlendirmelidir.”
Ortak ihmaller
Bazı uzmanlar, sıklıkla risk analizlerinin belirli sistemleri ve süreçleri kapsamdan atladığını veya belirli güvenlik açıklarına ayrılmadığını söyledi.
Bobst, risk analizinin genellikle ağda tutulan önceki elektronik tıbbi kayıt sistemi gibi eski sistemlerin korunmasını göz ardı ettiğini bulduğunu söyledi.
Riskler, eskiden yeni bir sisteme göç edilen veya Ephi’yi yeterince göç etmeyen ve eski sistemde önemli içeriği bırakmayan verilerle ilişkili olabilir.
Bailey, arşivlenmiş veya eski veritabanlarıyla benzer sorunlar gördü. “Hala Phi’yi depolayabilen ancak nadiren risk analizine dahil edilen eski sistemler, çünkü ‘gözden uzak, akıl dışı’ oldukları için.” Dedi.
EPHI içeren diğer yaygın olarak gözden kaçan cihazlar ve sistemler, resmi veteriner olmadan personel tarafından benimsenen onaylanmamış araçlar ve bulut uygulamaları gibi Gölge BT’yi içerir; Görüntüleme sistemleri, infüzyon pompaları ve genellikle modası geçmiş, desteklenmeyen işletim sistemlerinde çalışan diğer bağlı cihazlar gibi tıbbi IoT cihazları; Bailey, satıcılar tarafından işletilen ancak iş akışlarına entegre edilmiş portallar ve analiz platformları gibi üçüncü tarafa barındırılan uygulamalar.
“Bu, eksik varlık envanterleri, zayıf çapraz bölüm iletişimi ve birleşme, satın almalar veya sistem göçleri sırasında resmi keşif süreçlerinin olmaması nedeniyle gerçekleşir.” Dedi.
Diğer ihmal alanları arasında, denetçilere risklerin nasıl tanımlandığını ve hafifletildiğini gösteren derinlik ve belge eksikliği bulunmaktadır.
Devam eden görev
Bazen eksiklikler, risk analizi etrafında “tek ve bitmiş” bir zihniyete sahip düzenlenmiş bir kuruluşu içerir.
Bobst, HIPAA tarafından düzenlenen kuruluşların en az yılda bir güvenlik riski analizi yapmasını önermektedir. Ancak “teknoloji altyapısında büyük bir değişiklik meydana geldiğinde” bir risk analizinin yapılması gerektiğini de sözlerine ekledi.
Bailey kabul eder. “Risk analizi, yılda bir kez bir uyum etkinliği değil, sürekli, sürekli bir risk yönetimi programının parçası olmalıdır.”
Kuruluşlar, yeni EHR modüllerinin uygulanması, buluta geçiş, başka bir varlıkla birleşme veya yeni bağlı tıbbi cihazların dağıtılması gibi önemli operasyonel veya teknik değişiklikler olduğunda yeniden değerlendirmelidir.
Bailey ayrıca, sağlık hedefli fidye yazılımı kampanyalarında bir artış gibi büyük tehdit peyzaj değişimleri meydana geldiğinde “geçici incelemelerin” risk analizine dahil edilmesini önermektedir.
Uzun görüş
HHS OCR’nin HIPAA Güvenlik Risk Analizi Beklentileri, bugünün siber tehditlerine ayak uyduracak bir analizden “yeterince” mı?
Bobst, “Bu iyi bir başlangıç. Ancak, HIPAA güvenlik riski analizi 20 yaşından küçük HIPAA güvenlik kuralının bir parçası.” Dedi. Bobst, “O zamandan beri teknoloji ve tehditler önemli ölçüde gelişti.” Dedi.
“Risk analizi, bir kuruluşun fidye yazılımı saldırıları için ne kadar iyi hazırlanmış olduğunu içermelidir. Daha kapsamlı olmak için risk analizi de Ephi’den daha fazlasını içermelidir.” Dedi.
Yetkili, “Sosyal Güvenlik numaraları, kredi kartı numaraları, banka hesabı numaraları vb. Gibi kişisel olarak tanımlanabilir bilgiler, tipik olarak eyalet yasası tarafından yönetilen gizli veri türleridir. Sağlık kuruluşları, bordro verileri de dahil olmak üzere bu tür PII türlerini İK sistemlerinde saklamaktadır.” Dedi.
HIPAA’nın temel gereksinimlerinin ötesine geçmek için Bailey, kuruluşların şunları önermesini önerir:
- Sadece HIPAA uyumluluğuna bağlı olanlar değil, kurumsal çapta riskleri ele almak için NIST CSF veya ISO/IEC 27001 gibi daha geniş bir siber güvenlik çerçevesiyle uyumlu;
- Kontrollerin ve olay müdahale planlarının etkinliğini doğrulamak için ihlal senaryolarını simüle etmek;
- Risk analizini satıcı yönetimine entegre ederek iş ortaklarının düzenli güvenlik değerlendirmelerine tabi tutulmasını sağlayın.
Siber risk yönetişimini yönetim kurulu seviyesine yükselterek liderliğin siber riskleri iş açısından anlamasını sağlayarak;
“Bu ek adımlar, uyum ve gerçek dünyadaki esneklik arasındaki boşluğu kapatıyor” dedi.