Dalış Özeti:
- Vali Kathy Hochul Pazartesi günü yaptığı açıklamada, New York’un hastaneler için tesisleri korumayı ve saldırılar meydana geldiğinde açık tutmayı amaçlayan yeni, “ülke lideri” siber güvenlik düzenlemeleri önerdiğini duyurdu.
- Önerilen kurallara göre hastanelerin kendi siber güvenlik programlarını geliştirmeleri, iç ve dış riskleri değerlendirmeleri ve olay müdahale planlarını oluşturup test etmeleri gerekecek.
- Sağlık tesisleri, teknoloji sistemlerini yükseltmek için eyaletin 2024 mali yılı bütçesinde ayrılan 500 milyon dolardan finansman başvurusunda bulunabilecek.
Dalış Bilgisi:
Veri ihlalleri ve bilgisayar korsanlığı olayları arttıkça siber güvenlik, hastane operatörleri için giderek daha ciddi bir sorun haline geliyor. Federal düzenleyicilere göre yüz milyonlarca hastanın kişisel sağlık bilgileri ve hassas verileri son on yılda açığa çıktı.
Siber suçluların kuruluşların değerli veri depolarını hedef almasıyla birlikte özellikle bilgisayar korsanlığı olayları hızla arttı. Suçluların kritik sistemlere ve hasta verilerine tekrar erişim sağlamak için ödeme talep ettiği fidye yazılımları, tıbbi kayıtlara erişimi kesintiye uğratabilir, bakımı geciktirebilir ve hastalar için ölümcül sonuçlara yol açabilir.
Eyalet denetçisinden gelen bir rapora göre, New York’un sağlık sektörü geçen yıl eyaletin kritik altyapı sektörleri arasında en fazla siber saldırı rapor eden sektör oldu.
2023’ün ilk yarısına ilişkin ön rakamlar, New York’un kritik altyapısına yönelik siber saldırı sayısının geçen yılın toplamına kıyasla şimdiden neredeyse iki katına çıktığını gösteriyor.
Duyuruya göre Pazartesi günü açıklanan önerilen kurallar, hasta verileri ve kayıtlarına odaklanan federal HIPAA kuralının tamamlayıcısı olarak hastane BT sistemlerine yönelik korumaları iyileştirmeyi amaçlıyor.
Düzenlemeler, hastanelerin kurum içi uygulamalara yönelik prosedürleri, yönergeleri ve standartların yanı sıra üçüncü taraflarca oluşturulan uygulamaları değerlendirme ve test etme politikalarını içeren bir siber güvenlik programı geliştirmesini gerektirecek.
Tesislerin ayrıca bir siber güvenlik olayı durumunda müdahale planları hazırlaması ve sistemler geri yüklenirken hasta bakımının devam etmesini sağlamak için bu prosedürleri test etmesi gerekecektir.
Ayrıca hastane sistemlerine harici bir ağdan erişmek için çok faktörlü kimlik doğrulamayı kullanmaları ve siber güvenlik politikalarını uygulamak ve bunları yıllık olarak gözden geçirmekle görevlendirilecek bir CISO’yu işe almaları gerekecek.
Kurallar, Kamu Sağlığı ve Sağlık Planlama Konseyi tarafından kabul edilmesi halinde Aralık ayı başında devlet sicilinde yayınlanacak. 60 günlük kamuoyu görüşü süresi Şubat ayının başında sona erecek ve sonuçlanması halinde hastanelerin düzenlemelere uyması için bir yıl süre verilecek.