Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Mevzuat, Kurumun Siber Güvenlik Duruşunu Değerlendirmeyi ve Geliştirmeyi Amaçlıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Şubat 2024
Rekor sayıda siber saldırı sağlık sektörünü hedef alırken, ABD yasa koyucuları büyük bir ihlalin meydana gelmesi durumunda federal hükümetin binasının çalışır durumda olduğundan emin olmak istiyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
65 milyon Medicare hastasıyla ilgili verileri yöneten ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın güvenlik uygulamaları, HHS’nin iki yılda bir BT sistemleri üzerinde siber güvenlik incelemeleri ve testleri yürütmesini ve Kongre’ye rapor vermesini gerektirecek iki partili yeni bir Senato tasarısının odak noktasıdır. Gelişen siber tehditlere ayak uydurmak için siber güvenlik stratejisini nasıl güncellediği hakkında.
Sağlık Hizmetlerinde Siber Güvenliğin Güçlendirilmesi Yasası – Cuma günü Senatör Angus King, I-Maine ve Marco Rubio, R-Fla tarafından tanıtıldı. – sağlık sektöründe siber güvenliği güçlendirmeyi amaçlayan son aylardaki en son kongre çabasıdır.
Senatörler geçen hafta yaptıkları ortak açıklamada, Rubio/King yasa tasarısının HHS’nin “siber güvenlik sistemleri hakkında tutarlı değerlendirmeler yapmasını ve mevcut uygulamaları ve uygulamaya çalıştıkları gelecekteki güvenlik prosedürlerine ilişkin ilerlemeler hakkında iki yılda bir rapor sunmasını” gerektireceğini belirtmişlerdi.
King, yaptığı açıklamada, “Tehditlerin sayısı artmaya devam ettikçe, tutarlı değerlendirmeler ailemizi ve arkadaşlarımızı tedavi eden tıp camiası için bir cankurtaran halatı olacak.” dedi.
Rubio, “Pandemiden bu yana, sağlık sistemlerimize yönelik siber saldırıların sayısında bir artış gördük. Bu yasa, hassas bilgilerini daha iyi koruyarak Amerikan halkına güven vermeyi ve sürekli değişen bu zamanlarda gönül rahatlığı sağlamayı amaçlıyor.” dedi.
2023 yılında sağlık hizmetleri ve ilgili kuruluşlar HHS’ye rekor sayıda büyük siber saldırı (135,3 milyon kişiyi etkileyen 734 ihlal) bildirdi. Bu, ABD nüfusunun %40’ından fazlasının korunan sağlık bilgilerinin tek bir yıl içinde ele geçirilmesine eşdeğerdir (bkz.: 2023, Sağlık Verileri İhlallerinde Uzun Süreli Rekorları Nasıl Kırdı?).
Tasarının Detayları
Tasarı özellikle HHS Genel Müfettiş Ofisi’nin HHS’nin siber güvenlik uygulamalarını ve protokollerini her iki yılda bir değerlendirmesini öneriyor.
Değerlendirme, “HHS tarafından, HHS için veya adına görev açısından kritik veya hassas verileri işleyen, ileten veya saklayan sistemlerin Tıbbi yararlanıcı bilgileri gibi hasta verilerini nasıl açığa çıkarabileceğini veya hasta güvenliğini nasıl etkileyebileceğini belirlemek için penetrasyon ve diğer testler yoluyla gerçekleştirilecektir. .
Tasarı ayrıca HHS’nin her iki yılda bir HHS’nin siber güvenlik uygulamalarını ve protokollerini en son siber saldırı stratejilerine uyum sağlayacak şekilde nasıl güncelleyeceğini açıklayan bir raporu Kongre’ye sunmasını gerektirecek.
Ayrıca, OIG’nin her iki yılda bir Kongre’ye, izleme kurumunun HHS’nin siber güvenlik sistemlerinin testini yürütmek için federal fonları nasıl kullandığını ve siber güvenlik sistemlerinin değerlendirmesini sürdürmek için gereken ek fon veya yasal işlemleri açıklayan bir rapor sunması gerekecek. departman.
Önerilen mevzuattaki dil, BT sistemlerine sızma ve diğer güvenlik testlerini zorunlu kılarak Federal Bilgi Güvenliği Modernizasyon Yasası kapsamında HHS’nin mevcut gerekliliklerini güçlendiriyor.
Bir senato yardımcısı, Information Security Media Group’a tasarının mevcut FISMA gerekliliklerini “tamamlayacağını” söyledi.
“Bilgisayar korsanları çoğu zaman yalnızca para için sistemlere sızarlar, ancak bilgisayar korsanları aynı zamanda uzun vadeli dolandırıcılık yapmak için Medicare numaralarını çalmak veya bir hastayı zarar görme riskine sokmak için bilgi toplamak amacıyla da sistemlere sızabilirler. Tasarı, OIG’nin hastalıklardan nasıl korunduğuna dikkat çekiyor.” Hasta verilerini ifşa etmek ve güvenliği etkilemek amacıyla özellikle sistemlerine sızmayı amaçlayan bilgisayar korsanları” dedi yardımcı. “Ayrıca, ajanstan Kongreye kadar daha fazla şeffaflık gerektiriyor.”
Ofis, ISMG’ye yaptığı açıklamada, mevcut FISMA’nın genel müfettişin veya bağımsız bir dış denetçinin HHS’nin kurum çapındaki bilgi güvenliği programına ilişkin yıllık değerlendirmeler yapmasını gerektirmesine rağmen, FISMA’nın HHS veya bağımsız bir dış denetçinin uygulayacağı test türlerini – sızma testleri de dahil – belirtmediğini söyledi. OIG’nin gerçekleştirmesi gerekir.
Ofis ISMG’ye “Mevcut yasa tasarısı, HHS-OIG’nin sistemlerin nasıl tehlikeye girebileceğini belirlemek için siber güvenlik uygulamalarını değerlendirmek üzere nüfuz testi veya diğer test prosedürlerini kullanmasını açıkça gerektirecektir” dedi.
Ne iki partili Siber Uzay Solaryum Komisyonu’nun eş başkanı olan King ne de Senato Seçilmiş İstihbarat Komitesi başkan yardımcısı Rubio, ISMG’nin önerilen sağlık sektörü siber güvenlik mevzuatı ve diğer benzer konular hakkında ek yorum taleplerine hemen yanıt vermedi. Federal hükümette çabalar sürüyor.
Diğer Çabalar
King-Rubio tasarısı, sağlık sektöründe siber güvenliği artırmayı amaçlayan diğer yakın tarihli kongre faaliyetlerinin ardından geliyor.
Buna, sağlık sektöründe siber güvenliğin durumunu iyileştirmeye odaklanan potansiyel yasalar için kongre desteğini toplamaya odaklanan iki partili bir Senato çalışma grubunun geçen Kasım ayında başlatılması da dahildir (bkz.: Yeni İki Partili Senato Grubu Sağlık Hizmetleri Siber Tasarısıyla Mücadele Ediyor).
Bu çabaya, Senato Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi’nin üst düzey üyesi Senatör Bill Cassidy, R-La. ve Senatör Mark Warner, D-Va.; John Cornyn, R-Texas; ve Maggie Hassan, D-NH.
ISMG’ye yaptığı açıklamada Warner, sağlık hizmetleri siber güvenliğine gösterilen ilginin kendisini cesaretlendirdiğini söyledi.
“Yıllardır bu alandaki sorumluluğu ben yönetiyorum ve özellikle sağlık alanında siber güvenliğin nihayet Senato çapında bir öncelik haline geldiğini görmekten mutluyum” dedi.
“HHS’nin, temel en iyi uygulamaları zorunlu kılmak da dahil olmak üzere siber güvenliğe de öncelik vermesinden memnunum. Bu yıl tam da bunu yapmak için mevzuat çıkaracağım çünkü temel koruyucu siber hijyen uygulamalarının – tıpkı temel enfeksiyon kontrol uygulamaları gibi – önemli olduğuna inanıyorum. Hastaları güvende tutmanın bir parçası” diye ekledi Warner.
Geçtiğimiz Haziran ayında, Senato İç Güvenlik ve Hükümet İşleri Komitesi, kırsal hastanelerin siber güvenlik personeli eksikliklerini daha iyi gidermelerine yardımcı olmayı öneren iki partili Kırsal Hastane Siber Güvenliğini Geliştirme Yasasını onayladı.
Missouri Cumhuriyetçi Senatör Josh Hawley’nin sponsorluğunda ve komite başkanı Michigan Demokratı Senatör Gary Peters’ın ortak sponsorluğunda gerçekleşen bu yasa tasarısı şu ana kadar komitenin ötesine geçemedi (bkz. Kırsal Hastane Siber Becerileri Tasarısı Senato Komitesinden Geçti).
Biden yönetimi Aralık ayında sağlık sektöründe siber güvenliğin iyileştirilmesine yardımcı olacak bir stratejinin ana hatlarını çizen bir konsept belgesini açıkladı (bkz.: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Geçen ay HHS, sağlık sektörü kuruluşlarının uygulayacağı gönüllü “temel” ve “gelişmiş” siber güvenlik performans hedeflerini açıklayan bir kılavuz yayınlayarak bu planları detaylandırmaya başladı (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS, hedeflerin, Medicare ve Medicaid programlarındaki katılımcılar ve yetersiz kaynaklı sağlayıcı grupları gibi sağlık kuruluşları için bakanlığın tavsiye edilenleri uygulamak istediği konusunda potansiyel sopa ve havuç oluşturmak amacıyla yaklaşan kural oluşturma sürecini “bilgilendirmek” için kullanılacağını söyledi. uygulamalar.