Hükümet, sağlık hizmetleri, sektöre özgü
Azaltılmış personel düzenleyici işleri bozar, sağlık varlıklarını daha savunmasız bırakır
Marianne Kolbasuk McGee (Healthinfosec) •
3 Ekim 2025
Daha uzun sürerse, federal hükümetin kapatılması, siber güvenlik ile ilgili destek ve kaynaklar için federal ajanslara bağlı olan sağlık sektörü sağlayıcıları için son derece yıkıcı, riskli ve giderek daha sinir bozucu olabilir.
Ayrıca bakınız: FedRamp ve Stateramp’ı anlamlandırıyor
Sağlık Bilgi Paylaşımı ve Analiz Merkezi Baş Güvenlik Sorumlusu Errol Weiss, rakiplerin “sağlık sektöründe uzun süreli kesintilere neden olan yüksek etkili siber olayları başlatarak, sonuçta hasta güvenliğini ve hayat tasarrufu sağlama yeteneğini” başlatarak kapanmadan yararlanabileceğinden endişe ediyor.
Weiss, “Böyle bir bozulma olduğunda, insan hayatı tehlikede,” dedi. “Health-ISAC, 2020’den beri fidye yazılımı olaylarını izliyor. 2025 için rekor kıran sayıda fidye yazılımı saldırısına tanık olacağız.”
Kapanma, ABD Sağlık ve İnsan Hizmetleri Bakanlığı ile Siber Güvenlik Altyapı ve Güvenlik Ajansı da dahil olmak üzere bu yılın başlarında kilit federal ajanslarda işgücü indirimlerini takip ediyor.
Acil durum planlama web sitesindeki HHS, HHS çalışanlarının% 59’undan fazlasının kapanma sırasında korunacağını,% 41’i de kürk edileceğini söyledi. HHS, “Bu yüzdeler HHS işletme bölümleri ve ofisler arasında değişmektedir. Önemli bir doğrudan hizmet bileşenine sahip işletme bölümleri personelinin daha fazla sürdürülecektir.” Dedi.
HHS, iki tür personelin hala çalıştığını söyledi: yasalar tarafından yetkilendirilen ve “Adalet Bakanlığı yasal görüşleri ile tutarlı olarak insan yaşamının güvenliği ve mülkün korunması” nı destekleyen roller.
HHS’ye göre, HIPAA’yı yöneten ve uygulayan ve HHS Sekreter Ofisi’nin bir parçası olan HHS Sivil Haklar Ofisi, işletim sistemi için acil durum planlama web sayfasındaki HHS’ye göre, kapanma sırasında HIPAA ile ilgili soruşturmalarıyla devam ediyor.
Ancak bu, HHS OCR’nin soruşturma çalışması hacmine ayak uydurabileceği veya kapatma sırasında kapsanan kuruluşlara ve iş ortaklarına yönetme, rehberlik ve teknik yardım gibi diğer HIPAA ile ilgili çalışmaları gerçekleştirebileceği anlamına gelmez.
Hukuk firması David Wright Tremaine’den gizlilik avukatı Adam Greene, “Hükümetin kapatılmasının bu soruşturmaların veya denetimlerin çözümünü geciktirmesini bekliyorum.” Dedi.
Kapanış, şüphesiz temel kural koyma çalışmalarını da yavaşlatacağını söyledi. Yetkili, “HHS’nin en son düzenleyici gündeminde, gizlilik kuralında önerilen 2021 değişikliklerini sonuçlandırma niyetini ve 2025 Mayıs 2026’da güvenlik kuralında önerilen değişiklikleri gösterdi.” Dedi. “Bir süre sürerse, kapanmanın bu zaman çizelgelerini geciktireceğini umuyorum – ki bu her zaman en iyi ihtimalle istekli olan” dedi.
HHS’nin beklenmedik personel planına göre, “sadece bir kapanma sırasında ‘görev kritik’ kaldı. Bu, acil, yaşam ve ölüm çalışması devam ediyor-Halk Bakımını doğrudan tehdit edebilecek veya halk sağlığı ve güvenliğine dokunan acil durumları ele alabilecek büyük ihlallere yanıt vermek gibi,” dedi Jackie, sağlık hizmeti ve güvenlik danışmanlığı açık sularında danışmanlık hizmetleri kıdemli müdürü Jackie.
Eski bir uzun süreli sağlık ciso olan Mattingly, “Bu faaliyetler korunuyor. Ancak diğer önemli alanlar yavaşlıyor veya duraklıyor. Uzun süreli HIPAA denetimleri, düşük öncelikli araştırmalar, proaktif uyum incelemeleri ve hibe destekli siber güvenlik projeleri içeriyor.” Dedi.
“Bunlar ‘Yaşam ve Mülkiyet’ eşiğini karşılamıyor, bu yüzden finansman geri dönüşlerine kadar erteleniyorlar. Hemen olay tepkisine bağlı olmayan siber güvenlik personeli de öngörülüyor, bu da proaktif rehberlik, eğitim ve kurumlar arası koordinasyonu durdurabiliyor.”
Kapatma sırasında devam edecek diğer işletim sistemi ajansı faaliyetleri arasında Müfettiş General’in sağlık sahtekarlığı ve istismar kontrol programı ve finanse edilen gözetim faaliyetleri ile Medicare Duruşması ve Temyiz davası davası bulunmaktadır.
Etkilenen diğer ajanslar
Ancak HHS’nin yanı sıra, hükümetin kapatılması, siber güvenlik çabalarında sağlık sektörünü desteklemede önemli yardım sağlayan diğer kritik federal kurumları da büyük ölçüde engelliyor.
Mattingly, “Benim bakış açımdan, kapatmanın en yıkıcı etkisi, tehditlerin çoğaldığı anda koordineli, güvenilir farkındalığın kaybıdır.” Dedi.
“Son birkaç hafta içinde, Cisco, Sonicwall ve Citrix ürünlerinde açıklanan kritik güvenlik açıkları gördük – hastane ağlarının kalbinde oturan teknolojiler. Bu kusurlar ortaya çıktığında, genellikle aktif sömürü ile geliyorlar.” Dedi.
“CISA, sağlık sektörü için benzersiz bir değer katıyor” dedi. CISA sadece bir satıcı yamasına işaret etmiyor, “Hastanelerin hedeflenip hedeflenmediklerini ve hızlı bir şekilde savunma eylemi yaptıklarını doğrulamalarına yardımcı olan uzlaşma, tespit kuralları ve pratik hafifletmeler göstergeleri sunuyorlar.”
CISA ayrıca güvenlik açıkları daha geniş bir altyapıya dokunduğunda endüstriyel kontrol sistemi danışmanları da yayınlar – sağlık, HVAC veya OT ortamları gibi sağlık tesislerinin operasyonları sabit tutmak için güvendiği. “Her hastane sadece kendi trafiğini ve çevresini görür, ancak CISA sektörlerden gelen verileri toplar, noktaları birleştirir ve eyleme geçirilebilir zekayı iter. Bu koordinasyon, hastanelere yalnız çalışabileceğinden daha hızlı savunma yeteneği verir.”
İç Güvenlik Bakanlığı beklenmedik durum planlama belgelerine göre, 31 Mayıs itibariyle CISA’nın 2.540 çalışanı vardı. DHS’ye göre CISA, bu çalışanların sadece% 35’inin – veya 889’unun – ödenek sırasında korunacağını tahmin ediyor.
Yüksek kaygı
Gerçekten de, Federal uyarılar ve federal hizmetlerin kapatılmasındaki yavaşlamanın, birçok sağlık sektörü varlığının – özellikle daha küçük olanların – siber saldırılara maruz kalacağını söyledi. “Daha küçük hastaneler ve klinikler genellikle CISA’nın siber hijyen tarama hizmeti gibi serbest federal kaynaklara güveniyor. Bu kuruluşlar, şirket içi siber personel ve daha büyük hastane sistemlerinin bütçesinden yoksun.” Dedi.
Tıbbi cihaz üreticileri ve sağlık BT sağlayıcıları da düzenleyici rehberlik ve kırılganlık açıklamaları için federal ajanslara bağlı oldukları için risk altındadır. “Gecikmeler, kritik güvenlik açıklarını açmadan bırakabilir ve sömürü riskini artırabilir.”
Sağlık Bilgi ve Yönetim Sistemleri Derneği’nde Siber Güvenlik ve Gizlilik Kıdemli Müdürü Lee Kim, kapanma sonucunda gerçek zamanlı tehdit zekası ve koordinasyon engelleneceğini söyledi.
“Durumsal farkındalık siber güvenlikteki her şeydir” dedi. Kapanmanın bıraktığı boşlukları doldurmak için, “Sağlık kuruluşları, tehdit istihbaratı ve destek, sağlık ISAC veya bilgi paylaşımı ve analiz organizasyonları ve toplumlarındaki dernekler ve meslektaşları gibi diğer kaynaklar için satıcılarına ulaşmalıdır”.
Federal ajanslar operasyonları ölçeklendirebilirken, Health ISAC “üyelerine kesintisiz destek” sağlamaya devam ediyor, dedi Weiss. “Sağlık-ISAC her zaman sağlık sektörü için bir dayanıklılık temel taşı olmuştur ve kapatma sırasında rolü daha da kritik hale gelir.” Dedi.
Bununla birlikte, kapanma – ve ne kadar uzun sürerse – birçok sağlık sektörü varlığı arasında yüksek endişe yaratıyor.
Healthcare Bilgi Yönetimi Yöneticisi, Healthcare Koleji Koleji, Healthcare Ciss ve CIOS Derneği’nde hükümet ilişkilerine başkanlık eden Mari Savickis, “Kapatmadan önce sağlık sektöründeki birçok belirsizlik vardı ve şimdi kapanma ile daha da sinir bozucu – her şeyi kaplayan bir bulut var.” Dedi.
“Üyelerimiz CISA’nın ücretsiz araçlarının çoğunu kullanıyor. Bu araçlar hala mevcut. Ama ya bir şey olursa veya birisinin bir sorusu varsa. CISA bir iskelet ekibi ile çalışıyor ve akı var.” Dedi.
Kapanma sona erdiğinde bile, etkilenen ajansların “tekrar ateşlemek” için zamana ihtiyacı olacak ve 2015 CISA Yasası’nın yenilenip yenilemeyeceği de dahil olmak üzere sağlık sektörünü etkileyen siber sorunlar hakkındaki belirsizliğin devam edebileceğini söyledi.
Nihayetinde, “şimdi güvenlik duruşlarımızı ve dayanıklılığımızı güçlendirmek için bir topluluk olarak birlikte çalışmanın zamanı geldi,” dedi Himss ‘Kim. “Hastalarımız ve milletimizin refahı için güçlü olmalıyız.”