Sağlık Hizmetleri, Sektöre Özel, Standartlar, Yönetmelikler ve Uyumluluk
ABD Hükümeti Tıbbi Siber Güvenliği Artırmak İçin Ne Yapmalı?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
18 Aralık 2023
ABD hastaneleri için lobiciler, Biden yönetiminin zorunlu siber güvenlik gereklilikleri ve bu beklentileri karşılayamayan kuruluşlar için olası mali caydırıcılar yönündeki önerisine karşı çıkıyor. Sektör uzmanları, sağlık sektöründe siber güvenlik çıtasını yükseltmek için bazı hükümet eylemlerinin gerekli olduğunu ileri sürüyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Biden planı, diğer önlemlerin yanı sıra, Medicare ve Medicaid programlarına katılan hastaneler için siber güvenlik gereksinimlerinin oluşturulmasını öneriyor (bkz: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Sağlık ve İnsani Hizmetler Bakanlığı, hem siber güvenliğe yönelik yurt içi hastane yatırımlarına mali destek sağlamak hem de uzun vadede hastanelere mali sonuçlar getirerek yeni siber güvenlik gerekliliklerini uygulamak için yeni yetki ve finansman elde etmek amacıyla Kongre ile birlikte çalışacak. Biden belgesi diyor ki.
HHS, bu yeni gerekliliklerin ve siber güvenlik “performans hedeflerinin” ne olacağına ilişkin ayrıntıları henüz açıklamadı.
Amerikan Hastaneler Birliği, Biden yönetiminin 6 Aralık’ta konsept belgesini yayınlamasından kısa bir süre sonra yaptığı açıklamada, “sanki hackerların suç işlemedeki başarısında hatalılarmış gibi hastanelere uygulanan zorunlu siber güvenlik gereksinimlerine ilişkin önerileri destekleyemeyeceğini” söyledi. “
AHA, “Hastanelere yönelik son siber saldırıların çoğu üçüncü taraf teknolojilerden ve diğer satıcılardan kaynaklandı” dedi. “Para cezaları uygulamak veya Medicare ödemelerini kesmek, siber suçlarla mücadele için gereken hastane kaynaklarını azaltır ve siber saldırıları önlemeye yönelik ortak hedefimize ters etki yapar.”
Diğer sektör uzmanları, sağlık sektörünü daha iyi bir siber güvenlik duruşuna itmek için bir tür hükümet destekli değişimin gerekli olduğunu söylüyor. Genellikle kronik olarak yetersiz fonlanan tıbbi siber güvenlik kuruluşları, çok az azalma belirtisi gösteren çok yıllık bir fidye yazılımı saldırıları dalgasına başkanlık ediyor. Acil servislerin kapatılması ve iptal edilen prosedürler sıklıkla hasta sağlığı üzerinde olumsuz etkiler yaratan sonuçlardır. Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın Eylül 2021’de yaptığı bir analiz, siber saldırıların hastane kapasitesini azaltarak hasta ölümlerinin artmasına katkıda bulunabileceğini ortaya çıkardı.
“AHA’nın HHS’nin teklifine verdiği yanıtı okuduğumda ilk tepkim, pek çok insanın ‘Vay canına, bu AHA’nın söylediği gibi, Vay benim. Buradaki kurban benim, o yüzden beni sorumlu tutmayın’ diyecek olması olacak. ,” dedi uzun süredir sağlık sektörü siber güvenlik uzmanı Mac McMillan.
“Fakat bunun bu kadar basit olduğuna inanmıyorum. AHA’nın cevabı şöyle diyor: ‘Biz bir mağduruz ve mağduru suçlayamazsınız. Bu nedenle cezalar gerçekçi değil ama teşvikler normal.’ En değerli ulusal kaynaklarımızdan birini koruma konusunda daha iyi bir iş çıkarmak için neyin gerekli olduğuna dair makul bir tartışmayı, mağdura zorbalığın duygusal bir hikayesine dönüştürüyor” dedi.
New York eyaletinin en büyük sağlık sistemi olan Northwell Health’in CISO’su Kathy Hughes da sağlık sektöründe siber güvenlik düzeyini yükseltmek için daha fazla şey yapılması gerektiğini düşünüyor.
Hughes, “Çoğu kişi daha fazlasının yapılması gerektiği konusunda hemfikir” dedi. Önerilen federal ve eyalet mevzuatının “siber güvenliğin hasta güvenliği meselesi olduğunun ve makul ve uygun güvenlik önlemlerinin alınması gerektiğinin kabulü olduğunu” söyledi.
Hughes, hastanelere ve diğer sağlık hizmeti sağlayıcılarına siber güvenlik programlarını iyileştirmeleri için teşvikler sunmanın çeşitli nedenlerden dolayı değerli bir yaklaşım olabileceğini söyledi.
Northwell, New York eyaletinin temas kurduğu yaklaşık 20 sağlık kuruluşu arasındaydı; buradaki düzenleyiciler yakın zamanda eyaletteki hastanelerdeki siber güvenliği artırmak için eyaletin kendi önerdiği düzenlemeleri (yine bu ay yayınlandı) hazırladılar (bkz.: NY Eyaleti Hastaneler için Yeni Siber Kayıtları Gözetliyor).
New York’un Şubat ayı başına kadar kamuoyunun yorumuna açık olan önerilen siber güvenlik düzenlemesi, hastanelerin yeni gerekliliklere uyum sağlamak için güvenlik yatırımlarını artırmalarına yardımcı olmak amacıyla 500 milyon dolarlık bir finansman talebini de içeriyor.
Sağlık hizmetleri siber güvenliğinde yeni standartlar belirlemeye gelince, bir grup uzman en iyi aracın mevcut HIPAA Güvenlik Kuralını güncellemek olacağını söyledi.
Hughes, kuralın artık 28 yaşında olduğunu söyledi. “Hasta verilerini günümüzün siber güvenlik tehditlerine karşı yeterince korumak için kuraldaki gerekliliklerin modernize edilmesi ve güçlendirilmesi gerekiyor” dedi.
McMillan, HIPAA’nın tamamen elden geçirilmesi veya muhtemelen bunun daha sağlam gereksinimlerle değiştirilmesi çağrısında bulunuyor. “İster NIST, ISO, CIS vb. olsun, diğer tüm standartlar veya çerçeveler aynı zaman diliminde dört veya beş büyük revizyondan geçti” dedi.
“HIPAA’yı güncellemekten bahsetmemeliyiz, onu hurdaya çıkarmalı ve neredeyse tüm diğer endüstrilerin, hükümetin ve bugün sağlık hizmetlerinin çoğunun zaten yaptığı gibi NIST standartlarını benimsemeliyiz” dedi. “Sağlık kuruluşlarının ezici bir yüzdesi halihazırda NIST standartlarını benimsemişse, neden bu sektördeki liderlerin yanı sıra Washington’daki liderler için de bunu standart haline getirmek bu kadar zor oluyor?”