Sağlık sektörünün siber güvenlik durumunu büyük ölçüde iyileştirmesini sağlamak, kuruluşların siber performans hedeflerini özetleyen federal kılavuzun yakın zamanda yayınlanmasından çok daha fazlasını gerektirecektir. Clearwater danışmanlık şirketinin CEO’su Steve Cagle, bunun aynı zamanda yeni hükümet teşvikleri ve yetkileri gerektireceğini söyledi.
Cagle, Sağlık ve İnsan Hizmetleri Bakanlığı’nın sağlık sektörüne yönelik yeni siber güvenlik performans hedefleri hakkında şunları söyledi: “Bu, birçok şeyin birleşiminden oluşuyor. Sadece hedefleri yayınlamak yardımcı olacaktır. Ancak davranışları değiştirmek için aslında yeterli olmayacak.” geçen hafta yayınlandı (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS, yeni hedefleri temel ve gelişmiş olmak üzere iki gruba ayırdı. Temel hedefler arasında çok faktörlü kimlik doğrulama, güçlü şifreleme ve olay müdahale planlaması gibi temel en iyi uygulamaları ve kontrolleri uygulayan sağlık kuruluşları yer alır.
Geliştirilmiş hedefler arasında varlık envanteri, üçüncü taraf güvenlik açığı açıklamaları ve olay raporlama, siber güvenlik testleri ve azaltma, ağ bölümlendirme ve diğer en iyi uygulamalar gibi faaliyetler ve kontroller yer alır.
Her iki hedef kümesi de, Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi ve Sağlık Sektörü Koordinasyon Konseyi tarafından geliştirilen Sağlık Sektörü Siber Güvenlik Uygulamaları – veya HICP – başucu kitabı ve HHS’ 405(d) dahil olmak üzere sektör siber güvenlik çerçevelerine, en iyi uygulamalara ve stratejilere dayanmaktadır. ) siber danışma grubu.
HHS şu anda hedefleri “gönüllü” olarak adlandırıyor, ancak Aralık ayında yayınlanan Biden yönetimi sağlık sektörü siber güvenlik stratejisi konsept belgesi, yayınlanacak olan HHS hedeflerinin habercisi ve yaklaşan olası kural koyma ve düzenleyici değişiklikler hakkında ipuçları veriyor (bkz.: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Girişimler arasında HIPAA Güvenlik Kuralının güncellenmesi, potansiyel olarak hastanelerin Medicare ve Medicaid programlarına katılımının bir koşulu olarak en iyi siber güvenlik uygulamalarını gerektirmesi ve kırsal hastaneler gibi yetersiz kaynaklara sahip kuruluşlar için olası mali yardım yer alıyor.
Nihai sonuç ne olursa olsun, Cagle, sağlık sektörünün HHS’nin her iki hedef kümesinde de vurguladığı en iyi uygulamaları isteğe bağlı olarak görmemesi gerektiğini söyledi.
“Sektörde gerçekten bir değişim görmek istiyorsak – yani demek istediğim şu ki, ambulansların acil servislerden yönlendirildiği hastanelere yönelik fidye yazılımı saldırıları görmüyoruz ve 120 milyon kayıtın kuzeyine yol açan mega ihlaller görmüyoruz. Geçen yıl olduğu gibi, gerçek bir değişime ihtiyacımız var” dedi.
“Sağlık kuruluşlarını ve üçüncü taraflarını davranışlarını değiştirmeleri konusunda motive etmemiz gerekiyor.”
Bilgi Güvenliği Medya Grubu ile yapılan bu röportajda (fotoğrafın altındaki ses bağlantısına bakın) Cagle ayrıca şunları da tartıştı:
- HHS’nin sağlık sektörü kuruluşlarına yönelik siber güvenlik performans hedeflerinde eksik olanlar;
- Üçüncü taraf satıcıları ve iş ortaklarını kapsayan artan güvenlik riskleri ve tehditleri;
- Sağlık sektöründeki siber güvenlik sorunlarından üst düzey yöneticilerin sorumlu tutulması.
Cagle, gizlilik ve güvenlik danışmanlığı Clearwater’ın CEO’su ve yönetim kurulu üyesidir. Daha önce Moberg Pharma Kuzey Amerika’nın başkanı ve CEO’su ve Alterna LLC’nin başkanı ve CEO’su olarak görev yaptı. Ayrıca daha önce Sparta Systems Inc.’de müdür ve yönetici ekip üyesi olarak çalışmıştır.