İngiltere’nin Ulusal Sağlık Servisi (NHS), BT tedarikçilerinden halka açık bir tüzük imzalayarak daha iyi siber güvenlik taahhüt etmelerini istiyor.
Tedarikçilere 15 Mayıs açık bir mektupta, En İyi İngiltere ve NHS siber yetkilileri tedarikçileri NHS Charter’ı imzalamaya ve NHS hastanelerine ve sağlık tesislerine çarpan sakat fidye yazılım saldırıları dalgasını ele almaya yardımcı olabilecek en iyi uygulamaları benimsemeye söz verdi.
Sonbaharda, tedarikçilerin NHS tüzüğünü imzalamasına izin veren bir öz değerlendirme formu başlatılacaktır. Bu, açık mektupta belirtilen sekiz uygulamayı benimsemeleri için birkaç ay verir.
NHS Charter 8 siber güvenlik uygulamasını özetliyor
Mektupta belirtilen sekiz siber güvenlik uygulaması şunları içerir:
- Bilinen güvenlik açıkları için en son yamalarla sistemleri güncel tutmak;
- Veri Güvenliği ve Koruma Araç Seti’nin (DSPT) bir parçası olarak en azından “Standartlar Met” elde etmek ve sürdürmek;
- Ağlara ve sistemlere çok faktörlü kimlik doğrulama (MFA) uygulanması ve kimlik federasyonunu desteklemek veya ürünler üzerinde MFA işlevselliği;
- Kritik BT altyapısının gündelik etkili siber izlenmesi ve günlüğe kaydedilmesinin uygulanması;
- Test edilmiş iş sürekliliği ve hızlı kurtarma planları ile kritik iş verilerinin ve ürünlerinin değişmez yedeklemelerinin uygulanması;
- Kurul düzeyinde egzersizler “siber saldırı durumunda yanıt verme yeteneğinizden emin olduğunuzdan emin olmak için”;
- Müşterilere zamanında rapor vermek, tüm düzenleyici gereksinimlere uymak ve hasta bakımını veya verilerini etkileyen bir siber saldırı durumunda NHS İngiltere ile işbirliği içinde çalışmak;
- NHS için Bilim, İnovasyon ve Teknoloji Departmanı (DSIT)/Ulusal Siber Güvenlik Merkezi (NCSC) Yazılım Uygulama Kurallarına bağlı kalma ve güvenli tasarım ve geliştirme, güvenli yapı ortamı, güvenli dağıtım ve bakım ve iletişim ilkelerini müşterilerle karşılamayı taahhüt etmek.
NHS Rehin gönüllüdür ve yasal gereksinimleri değiştirmez
NHS Charter Rehin gönüllü olmakla birlikte, mektup kuruluşların “NHS kuruluşlarıyla yapılan düzenlemeler altında çalıştığınız süreçlerin ve sistemlerin siber güvenliğini korumak için yasal yükümlülüklere sahip olacağını” belirtiyor.
Bu, sözleşme şartlarını ve İngiltere GDPR Maddesi gibi diğer yükümlülükleri, kişisel veriler risklerine uygun uygun teknik ve organizasyonel önlemler için gereklilikleri içerir. Ve DSPT gereksinimleri “Siber Güvenlik Şartı’na kaydolup kaydolmamanız durumunda kalır.”
Mektup – Sağlık ve Sosyal Bakım Departmanında Sağlık ve Bakım Ulusal Baş Bilgi Güvenlik Görevlisi Phil Huggins; Mike Fell, NHS İngiltere Siber Operasyonlar Direktörü; ve NHS İngiltere’nin Dönüşüm Direktörü Vin Diwakar – ek adımların da geliştirilmesi altında olduğunu belirtti:
- Sağlayıcıların uygun güvenceyi gerçekleştirmek için kritik tedarikçilerini tanımlamak için kullanabileceği araçlar geliştirmek;
- Ulusal bir tedarikçi yönetim platformu için tedarik zincirini haritalamak ve “konsantrasyon riskini tanımlamamıza ve azaltmamıza izin veren” bir risk güvence modeli geliştirmek için gereksinimleri tanımlamak;
- Ve NHS kuruluşlarının sözleşmelere girmek için kullandıkları sözleşme çerçevelerinin gözden geçirilmesi, böylece bir hükümetler arası girişimin bir parçası olan uygun güvenlik programlarına ve açık beklentilere sahip olmaları.
Mektup ayrıca, geliştirilmekte olan ve kritik altyapıyı korumayı amaçlayan planlanan siber güvenlik ve esneklik faturasına atıfta bulundu. Tasarının bu yıl Parlamentoya tanıtılması bekleniyor.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.