Hukuk firması Polsinelli’den gizlilik avukatı Iliana Peters, Biden yönetiminin yeni yayımlanan gönüllü siber performans hedeflerini ve HIPAA Güvenlik Kuralını güncelleme planlarını içeren sağlık sektörü siber güvenliğini destekleme stratejisinin bazı kuruluşlarda belirsizliği artırdığını söyledi.
Peters, HHS’nin kısa süre önce yayınladığı ve “temel” ve “gelişmiş” kontroller ve en iyi uygulamalara ayrılan gönüllü siber güvenlik performans hedeflerinin “HIPAA Güvenlik Kuralı kapsamında zaten gerekli olduğunu” iddia edebilir (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS’nin Aralık ayında yayınlanan bir konsept belgesinde ana hatları verilen ve Biden yönetiminin tüm kritik altyapı sektörlerinde siber güvenliği desteklemeye yönelik daha büyük girişiminin bir parçası olan sağlık güvenliğini artırmaya yönelik genel stratejisi, kural koyma ve diğer düzenleme planlarını içerir (bkz.: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Şimdiye kadar bu planlar arasında HIPAA Güvenlik Kuralının bu baharda güncellenmesi, siber güvenliğe yatırım yapan hastaneler için potansiyel yeni teşvikler ve bu konuda eksikleri göz ardı etmeye yönelik caydırıcı önlemler ve diğer değişiklikler yer alıyor.
Ancak Peters, değişikliklerin neyi kapsayacağı konusunda şu ana kadar ayrıntıların bulunmamasının sektördeki kafa karışıklığını artırdığını söyledi.
Örneğin, HIPAA Güvenlik Kuralı’nın 1998’de yazıldığı ve 2003’te tamamlandığı zamanki amacı aşırı kuralcı olmak değil, düzenlenen kuruluşların değişen güvenlik ihtiyaçlarını, tehditleri ve teknolojileri kendilerine özgü çözümlerle ele almaları için esneklik ve ölçeklenebilirlik sağlamaktı. ortamlar.
Peters, kuralın daha kuralcı hale gelecek şekilde güncellenmesi halinde bunun sağlık kuruluşlarının siber güvenlik duruşuna zarar verebileceğinden korkuyor.
“Varsayımsal güncellenmiş kural ‘Şifreleme gerekli’ diyorsa ve kuantum hesaplama bir noktada şifrelemeden daha iyiyse, şifrelemeye takılıp kalamayacak mıyız?” diye sordu.
“Veri güvenliğinde kanuna çok özel gereklilikler getirmenin sorunu olmaya devam ediyor, çünkü işler çok hızlı değişiyor. Bir sonraki en iyi korumanın, bir çıkışa takılıp kalmak yerine konuşlandırılan bir koruma olduğundan emin olmak için çevik olmalıyız. güncellik şartı.”
Peters ayrıca HHS’nin sağlık sektörünün siber güvenliğinin en iyi şekilde nasıl iyileştirilebileceğine ilişkin düzenleme ve uygulama önceliklerinin potansiyel olarak yanlış hizalanıp hizalanmadığını da sorguladı.
“Nereye gitmeye çalıştığımız ve mevcut kaynaklar (en azından şu ana kadar) açısından bir miktar kopukluk var, özellikle de HHS’nin yaptırımlarını zaten ihlalleri bildiren kuruluşlara odakladığı göz önüne alındığında” dedi.
HIPAA tarafından düzenlenen kuruluşların, korunan sağlık bilgilerine ilişkin büyük ihlalleri halihazırda HHS’nin Sivil Haklar Dairesi’ne bildirmesi gerekiyor ve kurum daha sonra bu olayları araştırıyor.
Ancak eski bir HHS OCR yetkilisi olan Peters, belki de HHS’nin düzenleyici incelemelerden kaçınmak için sağlık verileri ihlalleri yaşayan ve bunları rapor etmeyen kuruluşlara daha fazla soruşturmacı ilgi göstermesi gerektiğini söyledi.
“HHS şu anda bunlarla ilgilenmiyor ve zaten bunu yapma yetkileri var. Geniş uyumluluk inceleme yetkileri var. HITECH Yasası’ndan sonra denetim yetkileri var. Ancak bunu yıllardır kullanmadılar” (bkz: Sonunda HIPAA Uygunluk Denetim Programının Sonuçları Açıklandı).
Bilgi Güvenliği Medya Grubu ile yapılan bu röportajda (fotoğrafın altındaki ses bağlantısına bakın), Peters şunları da tartıştı:
- Biden yönetiminin sağlık sektöründe siber güvenliği iyileştirme planlarındaki çeşitli önerileri desteklemek için hangi kongre eyleminin gerekli olabileceği;
- HHS’nin, HIPAA Güvenlik Kuralında değişiklik yaparken ve planlanan diğer düzenleyici eylemleri gerçekleştirirken karşılaştığı potansiyel engeller;
- Çeşitli Ulusal Standartlar ve Teknoloji Enstitüsü yayınları gibi hükümet siber güvenlik kılavuzlarını düzenli olarak güncellemenin faydaları.
Peters, Polsinelli hukuk firmasının hissedarı ve ulusal sağlık operasyonları uygulamalarında avukattır. Daha önce HHS OCR’da, sağlık bilgileri gizliliğinden sorumlu müdür yardımcısı vekili ve HIPAA uyumluluğu ve uygulanmasından sorumlu kıdemli danışman olarak görev yapmak da dahil olmak üzere on yıldan fazla zaman geçirmişti. Washington’daki OCR ekibine katılmadan önce Peters, OCR’nin Dallas bölge ofisinde araştırmacı olarak çalıştı.