Bu Help Net Security röportajında, Ochsner Health’in CISO’su Wayman Cummings, kaynaklar kısıtlı olduğunda bile bir sağlık hizmetleri siber güvenlik stratejisi oluşturma hakkında konuşuyor. Güvenlik açığı yönetimi ve ağ bölümlendirme gibi alanlara odaklanmanın nasıl en büyük farkı yaratabileceğini açıklıyor.
Cummings ayrıca insanlar, süreçler ve teknoloji arasında yapılan dengeleme yatırımlarının hem dayanıklılığı hem de hasta güvenini nasıl güçlendirebileceğini paylaşıyor.
Sağlık hizmetlerinde siber güvenlik stratejisi oluştururken, özellikle kaynaklar sınırlıysa liderler nereden başlamalı?
Üst düzey liderler, siber güvenlik stratejilerini, yönetilebilir yatırımlarla yüksek etki sağlayan temel kontrollere dayandırmalıdır. Temel sütunlar güvenlik açığı yönetimini ve ağ bölümlendirmesini içerir. Kısıtlı bütçelerle bile bu iki alan risk azaltma getirisi sunuyor.
Güvenlik açığı yönetimi için liderler, bilinen risklere sahip yama sistemlerine öncelik vermelidir. Saldırı yüzeyini azaltmak ve riskleri azaltmak için hızla düzeltilebilecek varlıklara odaklanın.
Ağ segmentasyonuyla amaç, sistemler arasındaki yanal hareketi kısıtlamaktır. Bu, herhangi bir ihlalin patlama yarıçapını sınırlar ve genel dayanıklılığı güçlendirir.
Ayrıca, kuruluşunuz genelinde bir siber güvenlik farkındalığı kültürünün geliştirilmesi de önemlidir. Aslında siber güvenlik farkındalığı en önemli ve uygun maliyetli temellerden biri olabilir. Hedefli eğitim ve öğretimle ekipleriniz tehditleri tanımaya daha hazırlıklı olacaktır.
Sağlık kuruluşlarının insanlara, süreçlere ve teknolojiye yönelik yatırımlara nasıl öncelik vermesini önerirsiniz?
Sağlık kuruluşları, siber güvenlik yatırımlarını en değerli varlıkları olan insanlar ve verilerin korunmasıyla uyumlu hale getirmelidir.
Biz güvenlik liderleri olarak iş gücümüzü ve hasta popülasyonumuzu korumak zorundayız. MFA, parolasız erişim ve kimlik avına karşı koruma teknolojileri gibi kullanıcı merkezli güvenlik kontrollerine yatırım yapmalıyız. Bunlar yalnızca riski azaltmakla kalmaz, aynı zamanda operasyonel verimliliği de artırır.
Veri yönetimi söz konusu olduğunda kuruluşların temel segmentasyondan, iş yüklerini ve uygulamaları izole eden mikro segmentasyona geçmesini öneriyorum. Bu ayrıntılı yaklaşım, bir segment tehlikeye girse bile tehdidin daha da kontrol altına alınmasını ve etkinin en aza indirilmesini sağlayacaktır.
Sağlık hizmeti sağlayıcıları, ekiplerine aşırı yük bindirmeden tedarik zincirlerinde nasıl daha fazla görünürlük elde edebilir?
Sağlık hizmeti sağlayıcılarının siber güvenlik konusunda tedarikçilerin daha aktif rol almasına ihtiyacı var. Satıcıların mevcut yama seviyelerini korumalarını ve özellikle sağlık ortamlarında hala yaygın olan eski sistemler için mevcut işletim sistemlerine geçiş yapmalarını talep etmemiz gerekiyor.
API entegrasyonları söz konusu olduğunda yalnızca temel veriler değiştirilmelidir. Bu, maruz kalmayı azaltır ve uyumluluğu kolaylaştırır. Gerekli minimum veri alışverişinin yapıldığından emin olmak için sağlık kuruluşlarının bir API denetimi yapmasını tavsiye ederim.
Son olarak veri yönetişimi süreci için beklentiler oluşturmalıyız. Satıcı ilişkilerinde siber güvenlik şeffaflığı ve hesap verebilirliği için yönetişimde işbirliği olmalıdır. Bu, yükü dahili ekiplerden ortak sorumluluğa kaydırır.
İyi hazırlanmış bir olay müdahale planı, özellikle hasta güvenliği söz konusu olduğunda bir sağlık kuruluşu için nasıl görünür? Günlük operasyonları aksatmadan olay müdahale planlarını nasıl test edebilir ve geliştirebilirler?
Olgun bir olay müdahale planı, bakımın sürekliliğine ve hızlı iyileşmeye öncelik vermelidir.
Bir olay müdahale planının dört bölümü vardır. Bunlar: tespit, kontrol altına alma, hafifletme ve onarmadır.
Olması gereken ilk şey anormalliklerin veya ihlallerin tanımlanmasıdır. Bu ihlaller tespit edildikten sonra kontrol altına alınırsınız. Amaç, yayılmayı önlemek için etkilenen sistemlerin derhal izole edilmesidir.
Ağ bölümlendirmesinin ve verilerin mikro bölümlenmesinin siber güvenlik stratejisi açısından bu kadar önemli olmasının nedeni budur.
Tehdit kontrol altına alındıktan sonra, hasarı azaltmak ve ek tehditleri etkisiz hale getirmek için hızlı bir şekilde harekete geçmek istersiniz. Son olarak restorasyon süreci var. Bu, hasta güvenliği ve klinik operasyonlar için kritik olan sistemlerin odaklanmış şekilde kurtarılmasıdır.
Olay müdahale planları düzenli olarak test edilmeli ve sorgulanmalıdır. Testler, klinik ve askeri ortamlarda kullanılan acil durum tatbikatlarına benzer şekilde, ekiplerin canlı ortamları bozmadan senaryoları prova etmesine olanak tanıyan masa üstü tatbikatlar ve simülasyonlar aracılığıyla yürütülmelidir.
Önümüzdeki birkaç yıl içinde düzenleyici ortamda, özellikle veri gizliliği ve yapay zeka konusunda ne gibi değişiklikler bekliyorsunuz?
Önümüzdeki birkaç yıl içinde sağlık hizmetleri liderlerinin daha kuralcı ve kapsamlı bir düzenleme ortamına hazırlanmaları gerekiyor. Daha fazla HIPAA yaptırımı olacağını tahmin ediyorum. Daha sıkı uyumluluk gereksinimleri, artan incelemeler ve yapay zeka düzenlemelerinin hızla artmasını bekleyebiliriz. Ortaya çıkan çerçeveler, özellikle klinik karar desteği ve teşhiste yapay zekanın etik kullanımını, veri gizliliğine ilişkin kuralları ve algoritmik şeffaflığı ele alacaktır.
2025 Siber Güvenlik Yasası’nı izliyoruz. Yasalaştığı takdirde bu yasa, sağlık kuruluşları genelinde gelişmiş siber güvenlik kontrollerini zorunlu kılacak ki bu önemli ve iyi bir şey. Ayrıca NIST’in, sektörün yüksek risk profilini ve benzersiz operasyonel zorluklarını yansıtan sektöre özel rehberlik sunmasını da bekleyebiliriz. Bu gelişen standartlarla proaktif katılım, uyumluluk ve güvenin sürdürülmesi için hayati önem taşıyacaktır.