Devlet, Sağlık Hizmetleri, HIPAA/HITECH
Milletvekili, Büyük Kuruluşların ‘Gevşek’ Siber Duruşlarını Düzeltmek İçin Yeni Düzenlemeler Gerektiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Haziran 2024
Senato Finans Komitesi başkanı, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nı sağlık sektörü siber güvenlik gereklilikleri konusunda daha sıkı olmaya çağırıyor. HHS’nin “büyük sağlık hizmeti sağlayıcılarının siber güvenlik uygulamalarını düzenleme konusundaki başarısızlığının”, son derece yıkıcı Change Healthcare fidye yazılımı saldırısı gibi “büyük salgına” katkıda bulunduğunu söylüyor.
Sen. Ron Wyden, D-Ore., Çarşamba günü yazdığı bir mektupta HHS Sekreteri Xavier Becerra’yı büyük sağlık şirketlerinin siber güvenlik uygulamalarını iyileştirmelerini zorunlu kılmak için “acil, uygulanabilir adımlar” atmaya çağırdı.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Wyden, “Ajansın sağlık sektörünün siber güvenliği kendi kendine düzenlemesine izin veren mevcut yaklaşımı yetersiz ve kişisel sağlık bilgilerini Kongre’nin amaçladığı şekilde korumada başarısız oluyor” dedi. “HHS, bilgisayar korsanlarının hasta sağlık bilgilerini çalmasına ve sağlık sisteminin bazı kısımlarını kapatmasına olanak tanıyarak hastaların sağlık bilgilerine fiili zarar vermesine neden olan şirketlerin gevşek siber güvenlik uygulamalarını ele almak için hemen harekete geçmelidir.”
Wyden, HHS’nin sağlık sektörü için siber güvenlik düzenlemelerini güncelleme planlarını zaten açıkladığını kabul etti. Bu, 20 yıllık HIPAA Güvenlik Kuralını güncelleme planlarını ve potansiyel olarak Medicare ve Medicaid ödeme teşviklerini ve cezalarını belirli “temel” ve “geliştirilmiş” siber güvenlik performans hedeflerine ulaşmaya bağlayan yeni düzenlemeler önermeyi içerir (bkz: Federaller Siberi Desteklemek İçin Sağlık Sektörüne Sopa ve Havuç Sallıyor”/>).
Ancak “HHS, 150 milyondan fazla Amerikalı için düzenleyici ve sağlık sigortası alıcısı rolü göz önüne alındığında daha da ileri gidebilir ve gitmelidir” dedi.
Yeni Gereksinimler Arayış
Wyden özellikle HHS’nin “takas odaları ve büyük sağlık sistemleri de dahil olmak üzere sistemik olarak önemli kuruluşlar veya SIE’ler için minimum, zorunlu teknik siber güvenlik standartlarını” zorunlu kılmasını istiyor. HHS’nin bu standartları güçlendirmesi ve Medicare programına katılan kuruluşların bu gereksinimleri karşılamasında ısrar ederek geniş çapta benimsenmesini sağlaması gerektiğini söyledi. Wyden, bunun SIE’lerin dayanıklılık gereksinimlerini karşılamasını da içerdiğini, böylece fidye yazılımına maruz kalmaları durumunda hızlı bir şekilde tekrar çalışır duruma gelebilmelerini de içerdiğini söyledi.
Wyden, “SIE’ler bilgi teknolojisi altyapılarını sıfırdan ve 48-72 saat içinde yeniden inşa edebilme yeteneğine sahip olmalıdır” dedi. “HHS aynı zamanda bu gereklilikleri karşılayabileceklerini kanıtlamak için bu şirketlere stres testi yapmalı. Change Healthcare gibi bir SIE’nin altı haftadan fazla kapalı kalması kabul edilemez.”
Senatör ayrıca HHS’yi bu yılın başlarında açıklanan planlarla ilerlemeye çağırıyor. HITECH Yasası uyarınca gerekli olan ancak 2017’den beri gerçekleştirilmeyen periyodik HIPAA denetimlerinin yeniden başlatılması. Wyden, “bu kuruluşlar daha önce HHS denetimlerine tabi tutulmamış olsa bile” denetimlerin SIE’lerin siber güvenlik uygulamalarına odaklanmasını istiyor.
Son olarak Wyden, HHS’nin sağlık hizmeti sağlayıcılarına teknik siber güvenlik yardımı vermesini istiyor. “Medicare ve Medicaid Hizmetleri Merkezleri’nin Kalite İyileştirme Kuruluşları ve Medicare Öğrenme Ağı programları, Medicare yararlanıcılarına sunulan sağlık hizmetlerinin etkinliğini, verimliliğini ve kalitesini artırmak için HHS’nin elindeki hayati araçlardır” dedi.
“HHS, özellikle düşük kaynaklara sahip olan sağlayıcılara siber güvenlik teknik desteği ve rehberlik sağlamak için bu programlardan yararlanmalıdır.”
Ne Mümkün?
Bazı sektör uzmanları sağlık sektörünün siber güvenliğini güçlendirmesi gerektiği konusunda hemfikir ancak yeni düzenlemelerin her zaman çözüm olmadığını söylüyorlar.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin güvenlik şefi Errol Weiss, “Genel olarak, siber güvenliğin asgari düzeyde tutulmasını düzenlemeler yoluyla zorunlu kılmak işe yaramayacaktır” dedi.
“Teknoloji, düzenlemelerin uygun minimum güvenlik standartlarına ayak uyduramayacağı kadar hızlı ilerliyor. Daha da kötüsü, tehdit ortamı teknolojiden daha hızlı gelişiyor ve düzenlemelere ayak uydurmak imkansız hale geliyor.”
H-ISAC başkanı Denise Anderson, Dışişleri Bakanlığı ve CISA’da yaşanan son olaylarda görüldüğü gibi hükümetin bile bu tür saldırılara karşı bağışık olmadığını söyledi. “Siber güvenlik çok karmaşık bir konudur ve belirli protokollerin mevcut olmasının bir saldırıyı durduracağını söylemek kolaydır. Belirli temel uygulamalar kesinlikle yardımcı olsa da, bunlar her derde deva değildir” dedi.
Gerçek şu ki, tehditler gelişmeye devam edecek ve siber savunmalar bir noktada artık etkili olmayacak, dedi. “Tehdit aktörleri çok faktörlü kimlik doğrulamayı aşmanın yollarını buldu. Kazanılacak paranın olduğu yerde tehdit aktörleri de bir yolunu bulacaktır.”
Uzmanlar, Wyden’ın spesifik taleplerinden bazılarının makul olduğunu, ancak diğerlerinin yerine getirilmesinin muhtemelen gerçekçi olmadığını söyledi.
Davis Wright Tremaine hukuk firmasından düzenleme avukatı Adam Greene, “Sağlık sektörünü sekteye uğratan siber olay türleri ışığında, Senatör Wyden’in dayanıklılığa odaklanması çok mantıklı” dedi.
Ancak diğerleri, ayrıntıların fark yarattığını söyledi.
Weiss, bir saldırının ardından BT altyapısını 48 ila 72 saat içinde sıfırdan yeniden inşa etme beklentisinin mümkün olmadığını söyledi. “Günümüzün modern hastaneleri ve sağlık sistemleri büyük, karmaşık ve birçok ortağa ve tedarikçiye bağımlıdır” dedi.
“Şubat ayında yaşanan olayın ardından sistemleri yeniden inşa etmek ve hizmetleri eski haline getirmek, Sağlık Hizmetlerini Değiştirmek haftalar, hatta daha uzun sürdü. 48 ila 72 saatlik bir yeniden inşa gereksinimi, mümkün olsa bile, son derece pahalı olacaktır. Peki bunun bedelini kim ödeyecek? Hastaneler ve hizmet sağlayıcılar halihazırda mali açıdan hayatta kalma mücadelesi veriyor.”
Wyden’in daha fazla siber güvenlik yardımının sektörün birçok kuruluş için gerçeğe daha yakın olmasına yardımcı olacağı yönündeki önerisi. Weiss, “Siber güvenliğe daha fazla yatırım yapmamız gerekiyor; yalnızca hastaneleri yeterince koruyacak teknolojiye değil, aynı zamanda onu yönetecek deneyimli insanlara da” dedi.
“Siber güvenliğe başvuracak daha fazla kaynağa sahip büyük kuruluşlar için sorun, sistemlerin saldırılara karşı korunmasını sağlamak için uyumluluk ve sürekli testlerin sağlanmasıyla ilgili hale geliyor” dedi.
Greene, Wyden’in CMS kalite iyileştirme kuruluşları ve Medicare Öğrenme Ağı yoluyla teknik yardıma öncelik verilmesi önerisinin daha az faydalı olabileceğini söyledi. “Siber güvenliği zayıf olan kuruluşlar için sorunun, farkındalık ve eğitim eksikliğinden ziyade zaman ve kaynak eksikliği olduğunu düşünüyorum” dedi.
Anderson, yeni düzenlemelere uyuma daha fazla vurgu yapmanın çözüm olmadığını, çünkü bunun gerçek siber güvenlik çabalarına gölge düşüreceğini söyledi. “Bunun yerine, tedbirleri uygulamaya koymanın maliyetine yardımcı olmak için kuruluşlar vergi indirimleri ve diğer yöntemlerle teşvik edilmelidir.”
Green, genel olarak Wyden’ın en büyük sektör kuruluşları arasında siber güvenliği desteklemeyi amaçlayan yeni düzenlemelere öncelik vermesinin muhtemelen en iyi açı olduğunu söyledi. “Wyden’ın ‘sistematik olarak önemli varlıklar’ için güvenliği artırmaya odaklanmasını takdir ediyorum” dedi. “Küçük bir solo sigortacı, büyük bir ulusal sigorta şirketiyle aynı güvenlik kaynaklarına sahip değildir, dolayısıyla güvenlik beklentileri açısından onlara farklı davranmak mantıklıdır.”
Geçen hafta Wyden, ABD Menkul Kıymetler ve Borsa Komisyonu’na ve Federal Ticaret Komisyonu’na benzer şekilde hararetli bir mektup göndererek kurumları, Şubat ayında Change Healthcare’e düzenlenen ve binlerce sağlık hizmeti sağlayıcısının iş süreçlerini kesintiye uğratan siber saldırının ardından UnitedHealth Group’u soruşturmaya çağırıyordu. Saldırının Amerikan nüfusunun üçte birini, yani 100 milyona kadar veya daha fazla insanı etkileyen bir veri ihlaliyle sonuçlanması bekleniyor (bkz.: Senatör, FTC ve SEC’i UHG’nin Siber Saldırısını Soruşturmaya Çağırdı).
Bir Wyden sözcüsü, Bilgi Güvenliği Medya Grubu’na, senatörün HHS, SEC veya FTC’den gelen mektuplarına henüz yanıt almadığını söyledi.
Wyden’ın ofisi ISMG’nin daha fazla yorum yapma talebine hemen yanıt vermedi.