Sağlık Hizmetleri, Sektöre Özel, Standartlar, Yönetmelikler ve Uyumluluk
5 Yıllık Plan Detayları Sağlık Ekosisteminin Siber Yaklaşımında Çıtayı Nasıl Yükseltebiliriz?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
27 Şubat 2024
Sağlık Sektörü Koordinasyon Konseyi, sağlık ve kamu sağlığı kuruluşlarının, hastalarını giderek artan tehdit dalgasına karşı daha iyi koruma konusunda daha iyi iş çıkaran siber güvenlik programlarını uygulamasına yönelik beş yıllık bir stratejik plan (bir eylem çağrısı) yayınladı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
HSCC’nin 425 sağlık sektörü kuruluşunu ve devlet kurumunu temsil eden özel-kamu koalisyonu olan Siber Güvenlik Çalışma Grubu, planı Salı günü açıkladı. Grubun yeni Sağlık Endüstrisi Siber Güvenlik Stratejik Planı veya HIC-SP, halihazırda sektörü rahatsız eden çeşitli siber sorunları ele alıyor ve önümüzdeki beş yıl içinde gelişen tehditlerle mücadele için ileriye dönük bir vizyon sunuyor.
Greg Garcia, “Hastaların eline daha fazla kontrol veren dijital sağlığa ve talep üzerine sağlığa geçiş, sağlık sağlayıcılarının hizmetleri, klinik iş akışlarını ve geri ödeme modellerini nasıl uyarlamaları gerektiği konusunda en önemli gelişmelerden biri olabilir.” HSCC’nin CWG’sinin genel müdürü, Bilgi Güvenliği Medya Grubu’na söyledi.
“Teknoloji yeniliği ile sağlık hizmeti sunumu arasındaki doğrudan ilişkiyi vurguluyor. Dağıtılmış bir sağlık sisteminin bu gelişimiyle birlikte, tehditlere ve zayıf noktalara karşı saldırı yüzeyinin doğal bir şekilde genişlediğini görüyoruz. Önümüzdeki beş yıl içinde çözmemiz gereken şey bu.” “dedi.
HSCC, fidye yazılımı saldırılarının tek başına 2023 yılında yaklaşık 141 hastaneyi vurduğunu ve ortalama fidye talebinin 1,5 milyon dolar olduğunu söyledi. Federal düzenleyicilere bildirilen büyük sağlık verisi ihlallerinin sayısı, 136 milyondan fazla kişiyi etkileyen yaklaşık 740 vakayla tüm zamanların en yüksek yıllık vakasına ulaştı (bkz.: 2023, Sağlık Verileri İhlallerinde Uzun Süreli Rekorları Nasıl Kırdı?).
HSCC, HSCC stratejik planının, sağlık hizmetleri siber güvenliğinin “teşhisini” mevcut “kritik” durumundan “kararlı bir duruma” yükseltmek için belirli ölçülebilir hedeflerin uygulanmasıyla elde edilebilecek “üst düzey siber güvenlik hedeflerini” ortaya koyduğunu söyledi.
Ölçülebilir 12 hedef arasında halk sağlığı, doktor uygulamaları ve daha küçük sağlık hizmeti sunan kuruluşlar tarafından siber güvenlik uygulamalarının ve kaynaklarının kullanımının artırılması; sektörler arası üçüncü taraf risk yönetimi stratejilerinin geliştirilmesi; ve siber güvenlik süreçlerinde verimliliği artırmak için otomasyonun ve yapay zeka gibi yeni teknolojilerin uygulanması.
HSCC, 2029 yılına kadar hedefin sağlık sektörü siber güvenliğinin bir halk sağlığı ve hasta güvenliği standardı olarak yerleşmesi olduğunu söyledi.
Bu, sağlık sektörü siber güvenliğinin hem düzenleme hem de uygulama açısından dönüşlü olduğu bir “gelecek” durumunu içerir; güvenlik, sağlık ekosistemi genelinde teknoloji ve hizmetlerin ortak ve işbirlikçi bir şekilde tasarlanması ve uygulanmasına entegre edilmiştir; Sağlık hizmetleri üst düzey yöneticileri ise kurumsal risk ve teknoloji zorunluluğu olarak siber güvenlikten sorumludur.
Sağlık hizmeti siber güvenliğinin “gelecekteki” durumundaki diğer temel ilkeler, yeterli kaynağa sahip olmayan sağlık kuruluşlarının siber eşitliği sağlamak için mali, politika ve teknik yardıma erişmesini gerektirir; işgücü siber güvenliğinin sürekli öğrenilmesi ve geliştirilmesi; ve erken uyarı, olaylara müdahale ve kurtarma için “911 siber sivil savunma”nın kurulması.
Tamamlayıcı Planlar
Garcia, HSCC planının, Biden yönetimi tarafından Aralık ayında ana hatlarıyla belirtilen ve aynı zamanda sağlık sektöründe siber güvenliği güçlendirmeyi amaçlayan gelişen bir stratejiyi tamamladığını söyledi (bkz: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
HHS’nin gelişen stratejisi, güçlü şifreleme ve çok faktörlü kimlik doğrulamanın uygulanmasından varlık envanteri ve üçüncü taraf güvenlik açığı olay raporlaması gibi sorunların üstesinden gelmeye kadar uzanan bir düzineden fazla gönüllü “temel” ve “gelişmiş” siber güvenlik performans hedefini içerir (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS’nin CPG’leri, Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi’nin yanı sıra HSCC ve HHS’ 405(d) tarafından geliştirilen daha önce yayınlanmış Sağlık Endüstrisi Siber Güvenlik Uygulamaları – veya HICP – başucu kitabı da dahil olmak üzere endüstri siber güvenlik çerçevelerine, en iyi uygulamalara ve stratejilere dayanmaktadır. ) siber danışma grubu.
Garcia, ISMG’ye “CPG’ler, HICP ve HIC-SP’nin hepsi uyumlu. Tamamlayıcı olduklarından emin olmak için birlikte çalıştık” dedi. “HHS CPG’ler esasen ‘ne’ diyor ve HICP ve HIC-SP ve HSCC CWG’nin 2019’dan bu yana yayınladığı diğer birçok önde gelen tamamlayıcı uygulama sadece ‘ne’ değil, ‘nasıl’ diyor.”
Garcia, HSCC stratejik planının tasarım açısından modüler olduğunu, böylece kuruluşların üst düzey hedefleri belirleyebileceğini ve daha fazla dikkat gerektiren alanlardaki hedefleri uygulayabileceğini söyledi.
Ancak HSCC planının sektörün siber güvenlik zorluklarını ele almanın ötesine geçtiğini söyledi. “Bu, işletmemizin ve sektörümüzün siber güvenliğinin hasta güvenliğini nasıl koruyacağına, klinik iş akışını nasıl sürdüreceğine ve sağlık ve halk sağlığı sisteminin dirençli işleyişi için kritik olan kaynakları ve varlıkları nasıl koruyacağına dair bir plandır.”