ABD Sağlık ve İnsani Hizmetler Bakanlığı, elektronik korumalı sağlık bilgilerinin (PHI) korunmasına yönelik temel siber güvenlik gerekliliklerini güçlendirmek amacıyla Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası güvenlik kuralında büyük bir revizyon yapmayı planlıyor. önerilen değişiklikler6 Ocak’ta Federal Kayıt’ta yayınlanacak olan yasa, sağlık kuruluşlarının ve kapsam dahilindeki diğer kuruluşların, çok faktörlü kimlik doğrulama ve gelişmiş şifreleme gereklilikleri gibi güvenlik kontrollerini uygulamasını gerektirecektir.
Teklif, HIPAA’da bugüne kadar yapılan en önemli değişiklikleri açıklamaktadır. Güvenlik kuralı ilk olarak 2003’te yayınlandı ve en son 2013’te revize edildi. HHS Sivil Haklar Ofisi’ne göre, tehdit manzarası şu anda on yıl öncesinden farklı ve sağlık kuruluşlarına yönelik ihlaller 2018 ile 2023 arasında %102 arttı. dedi ki ifade. 2023 yılında, 2018’e göre %1.002 artışla 167 milyonun üzerinde insanın sağlık bilgileri ele geçirildi.
HIPAA’da Önerilen Değişiklikler
Değişiklikler sağlık planları, sağlık hizmeti takas odaları, sağlık sağlayıcıları, sağlık tesisleri, sigorta şirketleri ve iş ortakları için geçerli olacak.
Yazılı Her Şey: Tüm politikaların, prosedürlerin, planların ve analizlerin yazılı olması gerekir. Bu aynı zamanda yazılı olay müdahale planları ve test planlarının yanı sıra bilgi sistemlerini ve verileri 72 saat içinde geri yükleyebilmek için yazılı prosedürlere sahip olmak gibi daha güçlü olay müdahale prosedürlerinin geliştirilmesi için de geçerlidir.
Varlık Envanteri: Sağlık kuruluşlarının, korunan sağlık bilgilerinin (PHI) çeşitli sistemler arasındaki hareketini izlemek için güncel bir teknoloji varlığı envanteri ve ağ haritası geliştirmesi ve düzenli olarak sürdürmesi gerekecektir.
Risk Analizi: Sağlık kuruluşları güvenlik riski analizinde o kadar da iyi değil. Önerilen değişiklikler, teknoloji varlık envanterinin ve ağ haritasının gözden geçirilmesini içeren yazılı değerlendirmeler, PHI’ye yönelik tüm potansiyel tehditlerin belirlenmesi ve her tehdit ve güvenlik açığı için risk düzeyinin değerlendirilmesi gibi güvenlik riski analizinin nasıl yürütüleceğine ilişkin daha fazla ayrıntıyı içermektedir.
Güvenlik Kontrollerini Uygulayın: Sağlık kuruluşlarının, sağlık sistemlerinin tehlikeye atılmasını veya veri ihlallerini zorlaştırmak için çok faktörlü kimlik doğrulama ve ağ bölümlendirme kullanması gerekecek. Tüm PHI’ların hem bekleme sırasında hem de aktarım sırasında şifrelenmesi gerekecektir; bu, şifrelemenin artık isteğe bağlı olmadığı konusundaki fikir birliğini yansıtmaktadır. PHI işleyen sistemler için güvenlik ekiplerinin her altı ayda bir güvenlik açıklarını taraması, yılda en az bir kez sızma testleri gerçekleştirmesi, kötü amaçlı yazılımdan koruma savunmaları kurması ve sistemlerden yabancı yazılımları kaldırması gerekecektir. Kuruluşların, bu teknik kontrollerin uygulandığından emin olmak için en az 12 ayda bir uygunluk denetimi yapması ve önlemlerin en az 12 ayda bir uygulandığını yazılı bir sertifikayla kanıtlaması gerekecektir.
Siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, bir toplantı sırasında şunları söyledi: 27 Aralık basın toplantısı Güvenlik kuralındaki değişikliklerin ilk yılda yaklaşık 9 milyar dolara, ikinci ila beşinci yıllar arasında ise 6 milyar dolara mal olacağı belirtildi. Neuberger, “Harekete geçmemenin maliyeti sadece yüksek değil, aynı zamanda kritik altyapıyı ve hasta güvenliğini de tehlikeye atıyor ve başka zararlı sonuçlar da taşıyor” dedi.
Paydaşların yorumlarını sunmak için yaklaşık 400 sayfalık teklifin yayınlanmasından sonra 60 günü var (Mart 2025 başı). Henüz belirli bir tarih belirlenmemiş olsa da HHS, kuralın nihai versiyonunu daha sonra yayınlayacak ve ardından 180 günlük bir uyum tarihi gelecek. Güvenlik kuralında değişiklik yapılmasına yönelik çalışmaların yeni cumhurbaşkanlığı yönetimi altında devam edip etmeyeceği de belli değil. Öyle olsa bile, sağlık kuruluşları önerilen gereksinimleri gözden geçirmeli ve potansiyel değişikliklere hazırlanmak için mevcut güvenlik programlarını değerlendirmelidir.