Sağlık Hizmetleri, Olay ve İhlallere Müdahale, Sektöre Özel
Uzmanlar, Olaylara Müdahalede Yaygın Sorunların Giderilmesine Yönelik İpuçları Sunuyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
5 Mart 2024
Her yıl düzenleyici kurumlara rapor edilen yüzlerce korunan sağlık bilgisi ihlali göz önüne alındığında, şimdiye kadar sağlık sektörünün veri ihlallerine yanıt verme konusunda oldukça fazla deneyime sahip olduğunu düşünebilirsiniz. yalnız geçen yıl. Ancak ne yazık ki güvenlik liderleri bir olayla uğraşırken müdahale planları ters gidebilir.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Bu, müdahalede kritik rol oynayacak iç ve dış tarafların hafife alınmasını ve yanlış hazırlanmasını (örneğin, olayın kontrol altına alınması ve soruşturulması, korunan sağlık bilgilerinin ele geçirilip geçirilmediğinin belirlenmesi, etkilenen bireylere bildirimde bulunulması ve düzenleyici raporlamanın yürütülmesi) ve diğer birçok görevi içerir. arasında.
Clearwater danışmanlık firmasının başkan yardımcısı Dave Bailey, “Sağlık kuruluşlarının veri ihlaline müdahale planlarını hazırlarken yaptığı en önemli hatalardan biri, tüm önemli paydaşların üçüncü taraf satıcıları dahil etmeye nasıl katılacağı veya katkıda bulunacağı konusunda iyi bir anlayışa sahip olmamaktır” dedi. “En önemli katkıda bulunan faktörlerden biri güncel bir iş etki analizine sahip olmamaktır.”
Bir siber olayın etkisini en aza indirecek bir müdahale planı sağlamanın en iyi yolunun, planı uygulamak ve doğrulamak olduğunu söyledi. “Olaya müdahalenin düzenli olarak uygulanması ve prova edilmesi, dirençliliğe ulaşmanın önemli bir bileşenidir. Dayanıklılığa ulaşmak için bir plana sahip olmak, raporlama ve uyumluluk gerekliliklerinin daha kolay ve zamanında yapılmasını sağlayabilir” dedi.
Bailey, sağlık kuruluşlarının yanıt vermesinin en zor olduğu güvenlik olaylarının, sistem kesintisi veya hizmet reddine veri hırsızlığı ve gaspın eşlik ettiği olaylar olduğunu söyledi. “Uzun kesinti süreleri ve sınırlı personel ve kaynaklar üzerindeki baskı göz korkutucu.”
Sağlık ve kamu sağlığı sektörü, hasta verilerine yönelik olası risklerin yanı sıra, hasta güvenliği ve BT sistemlerinin fidye yazılımı ve benzeri saldırılar nedeniyle kesintiye uğradığı vakalarda klinik bakım endişeleri de dahil olmak üzere bir dizi başka sorunla karşı karşıyadır. Güvenlik firması Pondurance'ın kurucusu ve baş müşteri sorumlusu Ron Pelletier, “Etkilenen hastanenin hastalara bakım sağlayamadığı ve bu hastaların başka yerlere yönlendirildiği çevredeki hastanelerde yerel ve bölgesel etkilere tanık olduk” dedi.
Komşu kuruluşları etkileyebilecek bölgesel olaylara karşı bölgesel hazırlık ve müdahale de önemlidir.
Clearwater'ın baş risk sorumlusu Jon Moore, kuruluşların olay müdahale tatbikatları ve tatbikatları gibi düzenli eğitimler yürütmesi gerektiğini söyledi.
“Bu tatbikatlar, üst düzey liderler, hukuk ve halkla ilişkiler temsilcilerinin yanı sıra BT, güvenlik ve gizlilik ekipleri de dahil olmak üzere bir müdahaleye dahil olması muhtemel tüm paydaşların katılımını içermelidir. Eğer üçüncü tarafların müdahaleye dahil olma ihtimali varsa, Onların da katılması istenmeli” dedi.
Raporlamada Dikkat Edilecek Hususlar
Olayın etkisi hemen ortaya çıktığında, PHI ihlalinin olup olmadığına ilişkin kapsamlı bir soruşturma yürütmek çok önemlidir. Yüzlerce, binlerce ve hatta milyonlarca kişiyi etkileyen büyük bir sağlık verisi ihlalinin olması yeterince kötü. Ancak durumun kötü ele alınması, gecikmiş bildirim ve raporlama da dahil olmak üzere durumu daha da kötüleştirebilir.
HIPAA ihlal bildirimi kuralı uyarınca, kapsam dahilindeki kuruluşların, PHI'sı tehlikeye giren kişilere, bir ihlalin tespit edilmesinden sonraki 60 gün içinde bildirimde bulunması gerekir. Bazı eyaletlerin bildirim yetkileri daha da kısadır. Ancak büyük ihlallerin ardından açılan toplu davaların çoğu göz önüne alındığında, bu bildirim son tarihleri sıklıkla kaçırılıyor ve potansiyel olarak kimlik hırsızlığı ve dolandırıcılık gibi bireylerin karşılaştığı potansiyel riskleri artırıyor.
Moore, “Raporlamanın zamanlılığı genellikle bir sorundur. Bazen bu, etkili raporlama için bilgi edinme çabasının sonucudur. Bazen de kuruluşun ihmalinin sonucudur” dedi.
“Diğer yandan, raporlama gerekliliklerini yerine getirme telaşıyla kuruluşlar sıklıkla yanlış veya eksik olduğu ortaya çıkan bilgileri rapor ediyor. Daha sonra raporlarını güncellemek zorunda kalıyorlar, bu da hem düzenleyici makamın hem de kamuoyunun kuruluşa olan güveni konusunda sorunlara yol açabilir. “
Pondurance'ın CISO'su ve hizmetlerden sorumlu başkan yardımcısı Dustin Hutchison, sağlık sektörü kuruluşlarının düzenleyici gerekliliklerini bir kontrol listesi olarak değil, birlikte çalışması gereken risk yönetimi ve güvenlik uygulamalarının bir parçası olarak düşünmeleri gerektiğini söyledi.
“Sağlık hizmetlerine yönelik tehditler gelişiyor ve düzenleyici gereklilikler daha yavaş değişirken, gereksinimlere uyma ve dinamik bir güvenlik programına sahip olma yeteneği, sistemlerin ve verilerin korunmasına yardımcı olacaktır” dedi.
Hutchinson, uyumluluk ve güvenlik uygulamalarını gösterme yeteneğinin özellikle bir olaydan sonra önemli olduğunu söyledi. “Bilgileri proaktif bir şekilde paylaşan kuruluşlar, görünürlük ve hazırlıklı olmaya yardımcı olarak diğerlerinin korunmasına yardımcı olabilir ve herhangi bir olaydan etkilenen bireyler, bir olay meydana geldiğinde bile verilerinin nasıl korunduğuna güvenmelidir.”
Moore, sağlık kuruluşlarının veri güvenliği olaylarının ardından düzenleyici gereksinimleri karşılamaya ve etkili iletişim stratejileri uygulamaya öncelik vermesi gerektiğini söyledi. Bunu başarmak için kuruluşların öncelikle ilgili düzenlemeleri ve sözleşmeden doğan yükümlülükleri anlamaları ve olayların değerlendirilmesi, kontrol altına alınması ve hafifletilmesine yönelik prosedürlerin ana hatlarını çizen kapsamlı bir olay müdahale planı geliştirmeleri gerektiğini söyledi.
“İletişim ve müdahale çabalarında yer alan personele net roller ve sorumluluklar atayın.”
Etkilenen bireylerle ve halkla zamanında ve şeffaf iletişim çok önemlidir. Moore, “İletişimi farklı hedef kitlelere göre uyarlayın ve etkilenenlere destek ve kaynak sunun. Süreç boyunca düzenleyiciler ve yetkililerle proaktif bir şekilde iletişim kurun, soruşturmalar ve uyumluluk gereklilikleri konusunda tam işbirliği yapın” dedi.
Olayı çözdükten sonra kuruluşların iletişim stratejilerinde ve olay müdahale prosedürlerinde iyileştirilebilecek alanları belirlemek için kapsamlı bir olay sonrası analiz yapması gerektiğini söyledi.
Moore, “Sağlık kurumları bu adımları izleyerek düzenleyici yükümlülükleri etkili bir şekilde yerine getirebilir, güveni koruyabilir ve veri güvenliği olaylarının ardından itibar hasarını azaltabilir” dedi.
Ön Planlama
Eski deyişte olduğu gibi, mesele bir kuruluşun bir ihlale maruz kalıp kalmayacağı değil, ne zaman olacağı meselesidir. Uzmanlar, kuruluşların kaçınılmaz olana hazır olmaları gerektiğini tavsiye ediyor.
Pelletier, “Planınızı test edin ve güncelleyin. Bir kez değil, iki kez değil, sürekli olarak” dedi. Masa üstü egzersizlerin yetenekleri ve zayıflıkları belirlemek için iyi olduğunu söyledi.
“Bu tatbikatlara üst düzey liderleri dahil ettiğinizden emin olun, çünkü onlardan şüphesiz müdahale ve kriz yönetiminin çeşitli yönlerinde yardım etmeleri istenecektir ve en önemlisi, olaya müdahalenin bir süreç olduğunu ve ihlallerin hızlı düzeltme çabaları olmadığını anlayacaklardır. “dedi.
“Kuruluşların yöneticileri planların test edilmesine dahil etmediğini, yalnızca bu yöneticilerin yanıtlarını şirketlerinin nasıl ilerlemesi gerektiğine dair düşüncelerine göre değiştirdiğini ve şirketi daha fazla risk altına soktuğunu çok kez gördük.”