1996 yılında yürürlüğe giren Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA), elektronik halk sağlığı bilgilerinin (EPHI) gizliliğini ve güvenliğini korumak için ABD sağlık hizmeti sağlayıcıları, sağlık kuruluşları ve sağlık veri işlemcileri ve takas sahipleri için düzenleyici standart olmuştur. HIPAA ayrıca uyumsuzluk cezalarının ana hatlarını çiziyor.
Ocak 2025’te, HIPAA’yı denetleyen ABD Sağlık ve İnsan Hizmetleri Sivil Haklar Ofisi (OCR), HIPAA güvenlik kuralında önerilen güncellemeler yayınladı. Uzun zamandır beklenen bu teklif artık sağlık sistemini artan sayıda siber saldırıdan daha iyi korumak için birçok yeni siber güvenlik gereksinimi içeriyor.
Önerilen değişiklikler, HIPAA’nın güvenlik kuralına yönelik ilk güncellemeyi 2005’teki kuruluşundan bu yana gösteriyor – bir çerçeve olarak HIPAA’nın 1996’daki kuruluşundan bu yana tüm eklemeleri için iyi çalıştığına dair bir işaret. Ancak sağlık verileri riski peyzajı geliştikçe, Güvenliğinin de gelişmesi gerektiğini düzenler.
HIPAA Güvenlik Güncellemeleri: İyi bir çerçeve daha da iyi yapmak
HIPAA Güvenlik Kuralı güncellemelerinin arkasındaki aciliyeti üç faktör yönlendiriyor.
Birincisi, teknoloji, özellikle sağlık sektöründe, son otuz yılda önemli ölçüde değişti. Daha iyi entegre sağlık teknolojisinden veri paylaşımının ve veri hacklemelerinin karmaşıklığına kadar, araçlar değişti.
Tehdit aktörleri ve ihlal eğilimleri de değişti. Siber saldırılar tüm endüstrilerde katlanarak artmıştır-sadece 2024’te OCR, bir önceki yıla göre% 127’lik bir artış olan sağlık kuruluşlarından veya üçüncü taraf ortaklarından 579 ihlal olayını kaydetmiştir. Sağlık verileri aynı zamanda, büyük miktarlarda son derece değerli, kolayca para kazanılabilir kişisel veriler nedeniyle bilgisayar korsanları tarafından aranan en çok hedeflenen ve en sevilen kategorilerden biridir.
HIPAA’daki güvenlik kuralı güncellemeleri, liderler tarafından zaten iyi bir güvenlik çerçevesini sağlık endüstrisinin siber risk ortamının mevcut zorluklarına daha iyi ve daha hazır hale getirmeye yönelik bir adım olarak görülmelidir.
Önerilen HIPAA kurallarının etkileri nelerdir?
Önerilen güncellemeler, mevcut çerçeve dilinde terminolojiyi açıklığa kavuşturmanın yanı sıra geniş bir siber güvenlik alanını kapsamaktadır. Birkaç temel tema göze çarpıyor:
Modern Siber Hijyen Gereksinimleri: Sağlık değişimi olan 2024’teki sağlık endüstrisi siber saldırıları, bilgisayar korsanlarının bir sağlık sisteminin güvenliğindeki zayıf noktalardan ne kadar hızlı yararlanabileceğini ve büyük hasara neden olabileceğini sergiledi. Çok faktörlü kimlik doğrulama, daha güçlü şifre güvenlik standartları, veri şifrelemesi, kötü amaçlı yazılım önlemleri ve ağ segmentasyonu gibi kontrollerin uygulanması temel görünmektedir, ancak bu adımları kodlamak tüm sistemi daha güvenli hale getirir.
Daha sağlam ve proaktif risk önlemleri: Önerilen güncellemeler boyunca, düzenleyiciler sağlık kuruluşlarının risk analizi uygulamalarını geliştirme ve risk değerlendirmeleri daha düzenli olarak yürütme ihtiyacını işaret ediyorlar. Geçici riskleri ele almak artık kabul edilebilir bir standart olmayacaktır-sağlık kuruluşlarının risk değerlendirmeleri konusunda daha proaktif olmaları ve bu adımları daha sürekli atmaları gerekir.
Standardizasyon ve Uyumlama: Mevcut HIPAA kurallarında, kuruluşlar hangi kuralların gerekli olduğu ile belirli koşullar altında hangi kuralların “adreslenebilir” olduğu arasında bir dereceye kadar esnekliğe ve yoruma sahiptir. Önerilen yeni kurallar, bu kuralların bazılarının tanımını sıkılaştırarak adreslenebilir koşulları yorumlamaya daha az açık hale getirir. Teklif ayrıca, NIST ve CISA gibi diğer standart çerçeveleri tanıyan ve HIPAA’nın yanındaki bu çerçevelerde kontrollerin uyumlaştırılmasını gerektiren kuralları da içerir. Birlikte, bu önlemler kuruluşların neyin uygunluğu oluşturduğunu yorumlamasında belirsizlik potansiyelini azaltır veya tamamen ortadan kaldırır.
Tematik olarak, düzenleyicilerin, değerli hasta verilerini siber tehditlerden daha iyi korumak için kuruluşları siber güvenlik adımlarını bir sonraki seviyeye taşımaya zorladıkları açıktır.
Sağlık Siber Güvenlik Liderleri için Rehberlik
Sağlık hizmetlerindeki siber güvenlik liderleri, sadece yeni düzenlemelerin uygulandığından emin olmakla kalmayıp, aynı zamanda liderlik ekibindeki diğerlerinin-C-suite ve yönetim kurulu için-bu kuralların daha geniş organizasyonlarını nasıl etkileyeceğini anlamalarında önemli bir rol oynamaktadır. HIPAA’nın güncellemelerinde yukarıdaki odak alanları göz önüne alındığında, liderler HIPAA kapsamında daha güçlü bir ortamı güçlendirmek için başka neler yapılabileceğini merak edebilirler.
Önerilen kurallar henüz onaylanmamış olsa da, liderler daha riske duyarlı bir işgücü ve kültür oluşturmak için yaklaşan değişiklikler beklentisiyle adım atmaya başlayabilirler. Siber güvenlik eğitim programlarının güncellenmesi ve çalışanın eğitime uymasını teşvik etmek, ekiplerin siber riskin önlenmesindeki rollerini daha iyi anlamalarına yardımcı olacaktır. Her insan, özellikle sağlık hizmetlerinde risk ortamının korunmasında rol oynar. Bununla birlikte, liderler bir ihlal – ya da daha kötüsü bir risk olayı – meydana gelirse sorumlu tutulur ve kuruluşlar farkında olmadan veya hazırlıksız yakalanırsa düzenleyiciler yumuşak olmaz.
Mevcut ortamda, sağlık sistemleri kaynaklar için gerilmiş hissedebilir veya eski sistemleri tehditlerden korumaya nereden başlayacağını bilmeyebilir. Sağlık sistemi teknolojisinin güncellenmesi ve uyumlaştırılması zaman alır, ancak entegre bir yaklaşım da gereklidir. Sağlık liderlerine bu işi tek başına ele almamaları veya BT ekiplerini hedefli, uzman rehberlik olmadan göreve koymaları tavsiye edilir.
Her ne kadar AI siber güvenlik araçları hala sağlık riski yönetimi işlevlerindeki uygulamaların ilk aşamalarında olsa da, gelecek umut vericidir. Mevcut doğru araçlar ve uygun kontroller uygulandığında, AI sağlık verilerinin güvenli bir şekilde yönetilmesinden sorumlu olanlara, tekrarlayan izleme, raporlama veya uyum görevleri yerine işlerini daha verimli yapmalarına ve proaktif risk yönetimine odaklanmasına yardımcı olabilir.
Siber güvenlik risklerini ele almak, potansiyel masraflarla mevcut sağlık sistemleri – ek eğitim, daha fazla BT ve siber çalışanlar, yeni yazılım veya danışmanlık ücretleri – gerçekleşmeden önce risklerin önüne geçmek, bir siber saldırının zorluklarında gezinmekten çok daha yönetilebilir.
Herhangi bir sektördeki liderlerin hatırlaması gerekir: Bir veri ihlalinin maliyeti sadece bir bilgisayar korsanının fidye ödemenin maliyeti değildir. İhlal iyileşmesi aynı zamanda marka yönetimi ve itibar hasarı kontrolü, uzun vadeli esnekliğin sürdürülmesini ve iletişim veya operasyonlarda kesintilerin düzeltilmesini de içerir. Sağlık endüstrisinde maliyet aynı zamanda insan sağlığı ve potansiyel olarak insan yaşamını da içerir.
HIPAA’nın güvenlik kuralı güncellemeleri, daha sağlam bir risk sistemi planlaması ve uyumlu kalmak hakkında bilgilendirilerek, hastane sistemleri ve sağlık veri görevlileri modern siber risk ortamının risklerine hazır olabilir. Hasta güvenliği her ne pahasına olursa olsun korumaya değer.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!