Sağlık Sektörü Koordinasyon Konseyi, Trump yönetimini Biden yönetiminin son günlerinde yayınlanan HIPAA güvenlik kuralına yönelik önerilen bir güncelleme üzerinde çalışmaya çağırıyor.
Bunun yerine HSCC, Beyaz Saray ve federal düzenleyicilerden daha gerçekçi ve ulaşılabilir alternatif siber gereksinimleri ve hedefleri belirlemek için sağlık sektörü liderleriyle işbirlikçi bir diyalog kurmalarını istiyor.
Amaç, sağlık sektörü kuruluşlarına, bilgi güvenliği medyası grubuyla kapsamlı bir röportajda, kamu-özel koalisyonu olan HSCC’nin siber güvenlik direktörü Greg Garcia, sağlık sektörü kuruluşlarına kuruluşlarının ölçülebilir sonuçlarla sonuçlanan daha iyi siber güvenlik sağlayabileceğine karar verme esnekliği sağlamaktır.
“Bence sağlık sektöründe hepimizin siber güvenlikte daha iyisini yapmamız gerektiğine dair bir tanınma olduğunu düşünüyorum. Ve birçok durumda bu daha yüksek hesap verebilirlik standartları anlamına gelecektir – yani uyum için hükümet gereksinimleri. Bence kimse buna itiraz etmiyor” dedi.
“Soru, ‘Bunu nasıl yapıyoruz?’ Bunu, iğneyi daha iyi siber güvenlik, hazırlık ve esneklikte hareket ettirecek en maliyetli, etkili, verimli bir şekilde nasıl yapacağız? ” dedi.
“Bu, daha iyi siber güvenlik gereksinimlerine çok fazla muhalefet değil, bizi sağlık sektöründe daha iyi siber güvenlik ve iyileştirilmiş hasta güvenliğine götürecek alternatif bir yol aramakla ilgili daha fazla.” Dedi.
HSCC üyelerinin çoğunun – 52 sağlık endüstrisi grubu da dahil olmak üzere önerilen HIPAA Güvenlik Kuralı güncellemesinin hükümlerine itirazların ortak bir konusu vardı, dedi (bkz: HHS’nin önerilen HIPAA güvenlik kuralı revizyonunda neler var?).
“Bence ortak tema, gereksinimlerin ya çok katı ya da çok belirsiz olmasıydı, bu da uyumluluğu hem pratik bir düzeyde hem de maliyet seviyesinde son derece zorlaştırıyordu.” Dedi. Diyerek şöyle devam etti: “Ve neyin iyi uyumu oluşturduğuna dair bu tür bir belirsizlik getirerek, daha iyi siber güvenliğe ulaşmada gerçek etkinliğin potansiyel olarak tehlikeye atıldığı anlamına geliyor.”
Garcia, hükümet ve kritik altyapı sektörü liderleri arasında fikir birliğine dayalı siber güvenlik kontrollerini başlatan kolektif çabaların emsali olduğunu söyledi. Böyle bir örnek, 2014 Ulusal Standartlar ve Teknoloji Enstitüsü’nün siber güvenlik çerçevesinin yayınlanmasına yol açan işbirlikçi çalışmalarda olduğunu söyledi.
HSCC Pazartesi günü Beyaz Saray’a ve ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na sunuldu – sağlık sektörü grupları ve siber güvenlik liderlerinin sektör için siber güvenlik en iyi uygulama gereksinimlerini ortaya çıkarmak için federal düzenleyicilerle birlikte çalışmaları için bir yıllık işbirlikçi çabayı toplama politika önerisi.
Diyerek şöyle devam etti: “Mesele şu ki, hükümet içinde birkaç avukatın kendilerini bir odaya kilitlemesi ve 150 sayfalık siber güvenlik düzenlemeleri tasarlaması, o odadan çıkıp bir müzakere edelim mi?”
Bilgi Güvenliği Medya Grubu ile bu sesli görüşmede (aşağıdaki fotoğraf bağlantısına bakın) Garcia da tartışıldı:
- Trump yönetiminin HSCC’nin şimdiye kadarki önerisine verdiği yanıt;
- Birçok endüstri grubunun ve siber güvenlik liderinin önerilen HIPAA Güvenlik Kuralı güncellemesinin hükümlerine karşı çıkmasının nedenleri, bu da daha geniş sağlık sektörü değil, sadece belirli düzenlenmiş kuruluşlar için de geçerli olacak;
- HHS’nin siber güvenlik performans hedefleri ve HSCC’nin sağlık endüstrisi siber güvenlik uygulamaları, sektörün güvenlik duruşunu iyileştirme çabalarına potansiyel olarak nasıl uygundur;
- Sağlık sektörü kuruluşlarının siber güvenlik programlarını, en iyi uygulamalarını ve kontrollerini desteklemelerine yardımcı olacak mevcut HSCC ve diğer ilgili kaynaklar;
- Tıbbi Cihaz Siber Güvenliği durumunu inceleyen bir duruşmada kendisinin ve diğerlerinin kongre ifadelerinden önemli çıkarımlar;
- Kongre tarafından yeniden yetkilendirilmedikçe, on yıl önce Eylül ayında gün batımına yaslanacak olan önemli siber güvenlik bilgileri paylaşım mevzuatı;
- Sağlık sektörünün karşılaştığı diğer siber güvenlik zorlukları.
HSCC’ye katılmadan önce Garcia, ülkenin Başkan George W. Bush yönetiminde Siber Güvenlik ve İletişim Sekreteri İlk Departmanı olarak görev yaptı. Ayrıca Finansal Hizmetler Sektörü Koordinasyon Konseyi’nin İcra Direktörü olarak görev yaptı ve Bank of America, 3Com Corp., Amerika Bilgisayar Gizliliği için Amerika Bilgi Teknolojileri Derneği ve Amerikalılarla yönetici görevlerde bulundu.