Sağlık sektörünün siber güvenlik durumunu büyük ölçüde iyileştirmesini sağlamak, kuruluşların siber performans hedeflerini özetleyen yeni federal kılavuzun yakın zamanda yayınlanmasından çok daha fazlasını gerektirecektir. Clearwater gizlilik ve güvenlik danışmanlığı CEO’su Steve Cagle, bunun aynı zamanda yeni hükümet teşvikleri ve talimatları gerektireceğini söyledi.
Cagle, Sağlık ve İnsani Hizmetler Bakanlığı’nın yeni “gönüllü” siber güvenlik performans hedefleri hakkında şunları söyledi: “Bu birçok şeyin birleşiminden oluşuyor. Sadece hedefleri yayınlamak yardımcı olacaktır. Ancak davranışları değiştirmek için aslında yeterli olmayacak.” sağlık sektörü geçen hafta yayınladı (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS, yeni hedefleri temel ve gelişmiş olmak üzere iki gruba ayırdı. Temel hedefler arasında çok faktörlü kimlik doğrulama, güçlü şifreleme ve olay müdahale planlaması gibi temel en iyi uygulamaları ve kontrolleri uygulayan sağlık kuruluşları yer alır.
Geliştirilmiş hedefler arasında varlık envanteri gibi faaliyetler ve kontroller; üçüncü taraf güvenlik açığı açıklamaları ve olay raporlaması; siber güvenlik testleri ve hafifletme; ağ segmentasyonu ve diğer en iyi uygulamalar.
Her iki hedef kümesi de, Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi ve Sağlık Sektörü Koordinasyon Konseyi tarafından geliştirilen Sağlık Sektörü Siber Güvenlik Uygulamaları – veya HICP – başucu kitabı ve HHS’ 405(d) dahil olmak üzere sektör siber güvenlik çerçevelerine, en iyi uygulamalara ve stratejilere dayanmaktadır. ) siber danışma grubu.
Ancak HHS şu anda hedefleri “gönüllü” olarak adlandırsa da, Biden yönetiminin Aralık ayında yayınlanan sağlık sektörü siber güvenlik stratejisi konsept belgesi, yalnızca HHS hedeflerinin yayınlanacağının habercisi olmakla kalmadı, aynı zamanda yaklaşan potansiyel kural koyma ve düzenleyici değişiklikler hakkında da ipucu verdi (bkz.: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Girişimler arasında HIPAA güvenlik kuralının güncellenmesi, potansiyel olarak hastanelerin Medicare ve Medicaid programlarına katılımının bir koşulu olarak en iyi siber güvenlik uygulamalarının zorunlu kılınması ve kırsal hastaneler gibi yetersiz kaynaklara sahip kuruluşlar için olası mali yardım yer alıyor.
Nihai sonuç ne olursa olsun Cagle, HHS’nin hem temel hem de gelişmiş hedef gruplarında öne çıkardığı en iyi uygulamaların sağlık sektörü tarafından gerçekten isteğe bağlı olarak görülmemesi gerektiğini söyledi.
“Sektörde gerçekten bir değişim görmek istiyorsak, demek istediğim şu ki, hastanelere yönelik fidye yazılımı saldırıları görmüyoruz, ambulanslar acil servislerden yönlendirilmiyor ve 120 milyon kayıttan daha fazlasına yol açan mega ihlaller görmüyoruz” Geçen yıl olduğu gibi, gerçek bir değişime ihtiyacımız var” dedi.
“Sağlık kuruluşlarını ve üçüncü taraflarını davranışlarını değiştirmeleri konusunda motive etmemiz gerekiyor.”
Bilgi Güvenliği Medya Grubu ile yapılan bu röportajda (fotoğrafın altındaki ses bağlantısına bakın) Cagle ayrıca şunları da tartıştı:
- HHS’nin sağlık sektörü kuruluşlarına yönelik siber güvenlik performans hedeflerinde eksik olanlar;
- Üçüncü taraf satıcıları ve iş ortaklarını kapsayan artan güvenlik riskleri ve tehditleri;
- Sağlık sektöründeki siber güvenlik sorunlarından üst düzey yöneticilerin sorumlu tutulması.
Cagle, gizlilik ve güvenlik danışmanlığı Clearwater’ın genel müdürü ve yönetim kurulu üyesidir ve daha önce halka açık bir İsveç ilaç şirketi olan Moberg Pharma AB’nin bir yan kuruluşu olan Moberg Pharma Kuzey Amerika’nın başkanı ve CEO’su olarak görev yapmıştır. Moberg AB tarafından satın alınmadan önce Cagle, tüketici sağlık ürünleri şirketi Alterna LLC’nin başkanı ve CEO’su olarak görev yapıyordu. Daha önce bir yazılım şirketi olan Sparta Systems Inc.’de müdür ve yönetici ekip üyesi olarak çalışmıştır.