Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Senato Tasarısı Hastaneler için Siber Finansman, Yalancı CEO’lar için Hapis Zamanı Anlamına Geliyor
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
27 Eylül 2024
Bir çift Demokrat senatör, sağlık sektörü kuruluşları için daha sıkı güvenlik talimatları öneriyor. Tasarı, hastanelerin gelişmiş gereksinimleri benimsemesine yardımcı olmak için finansman sağlıyor, ancak HIPAA uygulama cezalarının üst sınırını kaldırıyor ve üst düzey yöneticileri, kuruluşlarının güvenlik denetimlerine uygunluğunu yanlış bir şekilde kanıtlamaktan dolayı mali cezalar ve hapis cezası tehditlerinden sorumlu tutuyor.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
Perşembe günü Senato Finans Komitesi Başkanı Ron Wyden, D-Ore. ve Senatör Mark Warner, D-Va. tarafından açıklanan Sağlık Altyapısı Güvenliği ve Sorumluluk Yasası, bu yıl Kongre’ye sunulan çeşitli yasa tasarılarının en sonuncusu ama en kapsamlısıdır. Özellikle Şubat ayında Change Healthcare’e yapılan büyük çaplı siber saldırının ardından, sağlık sektörü siber güvenliğini güçlendirmeyi amaçlayan bir yıl.
İki partili sponsorluğa sahip milletvekilleri tarafından sunulan diğer bazı sağlık hizmeti siber güvenliği tekliflerinden farklı olarak, Wyden-Warner tasarısının henüz Cumhuriyetçi bir ortak sponsoru yok (bkz: CISA ve HHS, Kanun Tasarısı Kapsamında Sağlık Sektöründe İşbirliği Yapacak).
Bazı uzmanlar, her halükarda, Wyden-Warner tasarısının veya önerilen diğer yasa tasarılarının seçim sezonunda ilgi çekme ihtimalinin muhtemelen oldukça düşük olduğunu söyledi.
Güvenlik firması Semperis’in profesyonel hizmetlerden sorumlu başkan yardımcısı Todd Weber, “Tasarıyı hazırlayanların ve tüm yasa koyucuların karşı karşıya olduğu mevcut siyasi ve jeopolitik sorunlar nedeniyle bu yasanın komiteden taşınacağından emin değilim” dedi.
Bu arada ABD Sağlık ve İnsani Hizmetler Bakanlığı, HIPAA Güvenlik Kuralını değiştirmek ve elektronik korumalı sağlık bilgilerinin siber güvenliğini güçlendirmek için yıl sonuna kadar yapılması beklenen kural koyma teklifi üzerinde çalışıyor (bkz: Geri Döndüler: HHS OCR Rastgele HIPAA Denetimlerini Yeniden Diriltmeyi Planlıyor).
HHS ayrıca sağlık sektörü kuruluşları (çoğunlukla hastaneler) için Medicare ödemelerine bağlanabilecek belirli temel ve gelişmiş siber güvenlik performans hedeflerini zorunlu kılacak ilgili düzenlemeler üzerinde de çalışıyor (bkz: Federaller Siberi Güçlendirmek İçin Sağlık Sektörüne Sopa ve Havuç Sallıyor).
Warner yaptığı açıklamada, “Halihazırda ülke çapındaki kurumları hedef alan saldırılar göz önüne alındığında, gönüllü standartların ötesine geçmenin ve sağlık hizmeti sağlayıcıları ile satıcıların siber güvenlik ve hasta güvenliği konusunda ciddi olmalarını sağlamanın zamanı geldi” dedi.
Wyden-Warner Teklifleri
Wyden-Warner tasarısı uyarınca, HHS’nin “sağlık bilgilerini korumak, hasta güvenliğini korumak ve sağlık bilgi sistemleri ile sağlık işlemlerinin kullanılabilirliğini ve esnekliğini sağlamak için” iki yıl içinde geliştirilmiş minimum güvenlik gereksinimlerini benimsemesi gerekiyor.
Asgari standartlar kapsam dahilindeki tüm kuruluşlar ve iş ortakları için geçerli olurken, gelişmiş güvenlik gereksinimleri, HHS ve CISA tarafından belirlendiği şekilde “sistemik öneme sahip” veya ulusal güvenlik açısından önemli olan kapsam dahilindeki kuruluşlar ve iş ortakları için geçerli olacaktır.
Tasarı ayrıca, HHS’nin en az 20 kapsam dahilindeki kuruluşun veya iş ortağının veri güvenliği uygulamalarını yıllık olarak denetlemesi de dahil olmak üzere zorunlu güvenlik denetimleri öneriyor. HHS, denetim için kuruluşları seçerken “kurumun sistemik öneme sahip olup olmadığını, veri güvenliği uygulamalarına ilişkin yapılan şikayetleri ve önceki ihlallerin geçmişini dikkate alacaktır.”
Kapsam dahilindeki kuruluşların ve iş ortaklarının denetim gerekliliklerine uymaması “günde 5.000 dolardan fazla para cezasına tabi olmayacak ve bilerek yanlış bilgi içeren bir rapor sunan kişi için de cezai yaptırımlar uygulanacaktır.”
Ayrıca tasarı, güvenlik standartlarının ve gereksinimlerinin ihlali durumunda sivil para cezaları da getiriyor; bu cezalar, uyumsuzluğun “bilgisi olmaması” durumunda 500 ABD Doları ile düzeltilmeyen kasıtlı ihmal durumunda 250.000 ABD Doları arasında değişiyor.
Tasarı aynı zamanda üst düzey yöneticilerin gerekliliklere uygunluğu yıllık olarak belgelendirmesini zorunlu kılarak “kurumsal hesap verebilirliği artırmayı” da amaçlıyor. Wyden-Warner tasarısı hakkında bir bilgi notunda, “Kongre, Sarbanes-Oxley’in bir parçası olarak yöneticilerin mali tabloları imzalamasını zaten zorunlu kılıyor ve hükümete yalan söylemek ağır bir suçtur” dedi.
Mevzuata göre, zorunlu güvenlik uygunluk denetimleriyle ilgili olarak “kapsam kapsamındaki bir kuruluş veya iş ortağından istenen herhangi bir belge veya raporu sunan veya sunulmasına neden olan” kişiler, 1 milyon dolara kadar para cezası ve/veya 1 milyon dolara kadar hapis cezasıyla karşı karşıya kalacak. Suçlu bulunması halinde 10 yıl.
Wyden yaptığı açıklamada, “Sağlık sektörü, Amerikalıların refahı ve mahremiyeti açısından kritik öneme sahip olmasına rağmen ülkedeki en kötü siber güvenlik uygulamalarından bazılarına sahip” dedi. “Bu sağduyulu reformlar, hükümete yalan söyleyen CEO’ların hapis cezasına çarptırılmasını da içeriyor Siber güvenlikleriyle ilgili olarak, ülke çapındaki sağlık şirketleri arasında siber güvenliği güçlendirmek ve Amerikan sağlık sistemini felce uğratmakla tehdit eden siber saldırı dalgasını durdurmak için bir rota belirleyecek” dedi.
Bazı uzmanlar, tasarının yine kritik sağlık hizmetleri siber güvenliği konularına ışık tuttuğunu söyledi.
First Health Advisory danışmanlık firmasında hükümet ve klinik inovasyondan sorumlu baş güvenlik görevlisi Toby Gouker, “Tasarıdaki bu teklifin, siber güvenliğin tüm yönetim kurulu toplantılarında sürekli bir gündem maddesi olmasını garanti edeceğini düşünüyorum” dedi.
Tasarının diğer önerileri arasında, 2.000 kırsal ve kentsel güvenlik ağı hastanesine temel siber güvenlik standardını benimsemeleri için iki yıl içinde 800 milyon dolarlık ön yatırım ödemesi sağlanması; ve tüm hastaneleri gelişmiş siber güvenlik uygulamalarını benimsemeye teşvik etmek için 500 milyon dolar.
Hastaneler, iki yıl sonra bu geliştirilmiş uygulamaları benimsememeleri halinde Medicare ödeme cezasına tabi olacak.
First Health Advisory yönetim, risk ve uyumluluktan sorumlu eski sağlık hizmetleri CIO’su David Finn, “Ne yazık ki, birbirini takip eden cezaların yönetim kurullarının, CEO’ların ve CFO’ların mevcut siber güvenliği ele almayan risklere daha fazla dikkat etmelerini sağlayacağını düşünüyorum” dedi.
“Change Health, Ascension ve CrowdStrike kesintileri, kontroller, üçüncü taraf riskleri ve ‘kapanmanın’ devasa operasyonel ve finansal etkileri hakkında birçok tartışma yarattı” dedi.
“Günün sonunda, ya güvenliği önceden sağlamak için ödeme yaparsınız ya da olayı düzeltmek için olaydan sonra ödeme yaparsınız. Bir kesinti sonrasında işleri düzeltmek, her zaman bunu doğru yapmaktan ve bağımlı olmadan önce güvenliğinizi ve dayanıklılığınızı ele almaktan daha pahalı olacaktır. bazı yeni teknolojiler üzerinde.”