Sağlık , HIPAA/HITECH , Sektöre Özel
HHS, Sağlık Sektörü Koordinasyon Konseyi Araç Seti, Sektörün Riski Daha İyi Yönetmesine Yardımcı Olacak
Marianne Kolbasuk McGee (SağlıkBilgisi) •
8 Mart 2023
Yeni bir araç seti, sağlık kuruluşlarının güvenlik programlarını, ABD’nin ulusal bir siber güvenlik standardına en yakın şey olan Ulusal Standartlar ve Teknoloji Enstitüsü tarafından sürdürülen beş adımlı model olan Siber Güvenlik Çerçevesi ile uyumlu hale getirmesine yardımcı olmayı amaçlıyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Sağlık ve İnsani Hizmetler Departmanı ve Sağlık Sektörü Koordinasyon Konseyi Çarşamba günü sağlık sektörü için çerçeveyi anlama ve kullanma konusunda bir rehber yayınladı.
HHS hazırlık ve müdahaleden sorumlu sekreter yardımcısı Dawn O’Connell, “Sağlık hizmetleri siber saldırıları, en hızlı büyüyen siber suç türleri arasında yer alıyor – hasta bakımını tehlikeye atıyor, sağlık hizmetleri sistemlerinin bütünlüğüne zarar veriyor ve ABD ekonomisini tehdit ediyor” dedi.
Çerçeve, siber güvenlik faaliyetlerini beş işleve ayırır: belirleme, koruma, tespit etme, yanıt verme ve kurtarma. Kuruluşların beş işlevi yerine getirmek için uygulayabilecekleri siber güvenlik kontrollerinin yanı sıra kuruluşların çerçeveyi benimsemelerini derecelendirebilecekleri – “kısmi” ile “uyarlanabilir” arasında değişen dört kademeli bir dizi önerir.
NIST, endüstri ile uzun bir istişare sürecinin ardından 2014 yılında çerçeveyi açıkladı ve Washington’un halihazırda düzenlenmiş endüstrilerin dışında gönüllü bir girişim olarak özel sektöre yaklaşımını pekiştirdi. Bu fikir birliği, özellikle kritik altyapıyı sarsan sürekli fidye yazılımı saldırıları dalgası nedeniyle baskı altındadır (bkz: Beyaz Saray, Biden’ın Ulusal Siber Güvenlik Stratejisini Açıkladı).
Korunan sağlık bilgilerine dokunan herhangi bir sağlık kuruluşu, halihazırda HIPAA Güvenlik Kuralı tarafından düzenlenmektedir ve kuralın çerçeve ile uygulanmasını koordine etmek için başka belgeler mevcuttur. 2022’de NIST, yaya geçidi belgesini güncellemek için taslak kılavuz yayınladı.
Ancak tüm sağlık kuruluşları bu kuralın kapsamına girmez ve her halükarda sektördeki uzmanlar, çerçeveye uyulmasının güvenlik açısından daha iyi sonuçlar doğurduğunu düşünür.
“Kuruluşların karşılaştığı en büyük sorunlardan biri, başta düzenleyiciler olmak üzere hem iç hem de dış paydaşlara siber güvenlik programları hakkında anlamlı güvencelerin nasıl sağlanacağıdır. NIST Siber Güvenlik Çerçevesi, kuruluşların belirli siber güvenlik hedeflerini standart bir şekilde nasıl karşıladıklarını iletmelerine olanak tanır.” HITRUST’ın baş strateji sorumlusu Robert Booker dedi.
Booker, “Tüm şirketlerin performansının NIST Siber Güvenlik Çerçevesinin siber güvenlik hedeflerine göre daha tutarlı bir şekilde uygulanması, sağlık sektörünün genel duruşunu büyük ölçüde artıracaktır” dedi. Çerçeve alımının durumunu karışık olarak nitelendiriyor. “Benimseme konusundaki en büyük boşluklar, küçük ve orta ölçekli işletmelerde görünüyor.”
Yeni ortak NIST siber güvenlik çerçevesi araç setine ek olarak, Sağlık Sektörü Koordinasyon Konseyi ve HHS de Sağlık Sektörü Siber Güvenlik Uygulamaları adlı ortak 2019 yayını güncellemesini tamamlamaya yakındır.
HSCC’nin Siber Güvenlik Çalışma Grubu yönetici direktörü Greg Garcia, Information Security Media Group’a verdiği demeçte, “Hükümetin önerilen yetkiler hakkında ne karar vereceğini bilmiyorum, ancak sektör kesinlikle NIST ve HICP’nin arkasında duruyor.”