3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Kılavuz, Tüm Tedarikçilerin Aynı Düzeyde Risk Oluşturmadığının Farkında Olarak Ekiplerin Öncelik Vermesine Yardımcı Olur
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
8 Ekim 2025
Üçüncü taraf güvenliği ve tedarik zinciri riski, ilgili tedarikçilerin çokluğu ve çeşitliliği ve hastanelere ve tıbbi uygulamalara sağladıkları kritik ürün ve hizmetler nedeniyle sağlık sektörü için en karmaşık ve kalıcı zorluklar arasında yer alıyor.
Ayrıca bakınız: 2024 Finansal Hizmetlerde Kimlik Güvenliğinin Durumu
Sağlık Sektörü Koordinasyon Konseyi, hasta bakım sağlayıcıları, sağlık planları, sigorta firmaları ve üreticiler de dahil olmak üzere her türlü sağlık sektörü kuruluşunun bu zor kararları almasına yardımcı olmak için yeni bir ücretsiz rehberlik belgesi yayınladı.
HSCC, Salı günü piyasaya sürülen Sağlık Sektörü Siber Güvenlik Sektörü Haritalama ve Risk Araç Takımının (SMART) son 16 ay içinde hasta bakımı, sigorta, laboratuvarlar, ilaç ve kan hizmetleri, tıbbi teknoloji, kamu sağlığı ve sağlık bilişimi gibi sağlık sektörünün tüm alt sektörlerindeki 80 kuruluş arasındaki sektörler arası işbirliğiyle geliştirildiğini söyledi.
HSCC, SMART Araç Takımının “klinik, idari ve üretim iş akışları için gerekli olan üçüncü taraf teknoloji, yazılım ve iletişim hizmetlerinin oluşturduğu sistemik riski görselleştirmek, tanımlamak ve ölçmek için” şablonlar ve bir metodoloji sağladığını söyledi.
HSCC, kılavuzun her büyüklükteki ve alt sektördeki sağlık sektörü kuruluşlarındaki siber, tedarik zinciri, risk, operasyonel ve idari yöneticiler tarafından kullanılmasının amaçlandığını söyledi.
HSCC, “Sağlık hizmetleri genelinde kritik bir işlevi destekleyen tek bir tedarikçiyi veya üçüncü taraf ürününü etkileyen bir siber güvenlik olayı, tek bir ödeme merkezinin aksaması gibi birden çok soruna yol açar, ülkenin sağlık hizmeti sunumunun önemli bir bölümünü durdurabilir.” dedi.
Bu sadece bir fikir değil, aynı zamanda UnitedHealth Group’un Change Healthcare’e Şubat 2024’te yapılan fidye yazılımı saldırısından sonra ABD sağlık ekosisteminde halihazırda ortaya çıkan bir şey. BT hizmetleri birimleri aylarca binlerce tıbbi muayenehanenin, eczanenin ve diğer türdeki kuruluşların işlerini ve hasta bakımını aksattı.
Michigan’daki McLaren Health’in klinik mühendisliği başkan yardımcısı ve HSCC’nin SMART araç setini geliştiren siber güvenlik çalışma grubunun görev gücünün eş başkanı Samantha Jacques, “SMART Araç Takımı üçüncü taraf riskine farklı bir perspektiften yaklaşıyor” dedi.
Pek çok kuruluşun yaptığı gibi, tüm üçüncü taraflara aynı şekilde davranmak ve hepsini aynı değerlendirme tablosunu kullanarak değerlendirmek yerine, araç setinin potansiyel risk faktörlerini ayrıştırdığını söyledi.
Örneğin kuruluşlardan, söz konusu kuruluş için “önemlilik” riskinin ne anlama geldiğini tanımlamalarını ister. “Kuruluşun yaşayabilir, karlı olmasını veya misyonunu gerçekleştirmesini ne engelleyecek?” dedi.
Araç seti, sağlık kuruluşlarına, kuruluşun işleyişi açısından kritik olan iş akışlarını belirleme konusunda rehberlik eder; kuruluşun işleyişi için önemli olan kritik iş akışlarındaki satıcılar, üçüncü taraflar, yazılımlar ve diğer ürünler veya hizmetler; ve değerlendirmenin, tehlikeye atılması durumunda kuruluşu önemli ölçüde etkileyebilecek bu kritik üçüncü taraflara odaklanması gerektiğini söyledi.
Araç seti aynı zamanda “sınırlı kaynakların bu değerlendirmelerde keşfedilen riskleri hafifletme çabasını, riskleri azaltmak ve mevcut kaynaklarla daha büyük bir etki yaratmak” için yönlendirdiğini söyledi.
“Nihayetinde bu metodolojinin uygulanması, kuruluşların çabalarını harcama şeklini değiştirme fırsatına sahip” dedi.
“Çabanın %80’ini üçüncü tarafları ve risklerini değerlendirmeye ve diğer %20’sini riski azaltmaya harcamak yerine, bu metodolojiyi bu çabayı tersine çevirmek için kullanabiliriz ve %20’sini riski değerlendirmeye harcayabilir ve zamanımızın %80’ini tanımladığımız riski azaltmak için kullanabiliriz” dedi.
“Bu sonuçta kuruluşların gelecekte bilinmeyen olaylara daha hazırlıklı olmasına yardımcı olacaktır.”
Satıcı Riskine Öncelik Verme
Risk azaltma danışmanlık şirketi The Edmund Group’un ortağı ve sağlık sigortası şirketi Humana’nın kurumsal üçüncü taraf risk yönetimi eski yöneticisi Steven Adler, aslında, pek çok sağlık kuruluşunun yaptığı temel hatalardan birinin, portföylerindeki tüm tedarikçilerin aynı düzeyde risk taşıdığını varsaymak ve bunun sonucunda “düşük riskli tedarikçileri” yönetmek için gereksiz zaman, para ve çaba harcamak olduğunu söyledi.
Kılavuzun geliştirilmesinde yer almayan Adler, “HSCC’nin SMART Araç Takımı, sağlık kuruluşları içindeki siber ve risk ekiplerine, bakımın sürekliliğini sağlayan en kritik sağlık hizmeti sunma işlevlerini ve aynı zamanda bu işlevleri destekleyen üçüncü tarafları destekleyenleri belirlemek için netlik ve rehberlik sağlayacak” dedi.
Kendisi, sağlık sektörü kuruluşlarının üçüncü taraf risklerine öncelik vermelerinin zorunlu olduğunu söyledi.
“Her şeyden önce, büyüklüğü veya pazar değeri ne olursa olsun sağlık kuruluşlarının, bu sektörün, ‘yalnızca idari hizmetler’ müşterileri ve tüketicilerinin incelemesine ek olarak federal ve eyalet düzenleyicileri tarafından artan yaptırımlarla sıkı bir şekilde düzenlendiğini kabul etmesi gerekiyor” dedi.
ASO’lar, sağlık sigortası gibi çalışan sosyal yardım planlarını kendi kendine finanse eden, ancak idari görevleri yönetmek için üçüncü bir tarafla sözleşme yapan işverenleri içerir.
“Bir sonraki adım, en önemli risklerinizi ve tedarikçilerinizi belirlemek için önleyici adımlar atmak, süreç boyunca hasta ve tüketici odaklı yaklaşımınızı sürdürmektir” dedi.
Adler, tedarikçi risk modelinin, korunan verilerin hacmi, stratejik önem ve yıllık harcama gibi önceden belirlenmiş bileşenler kullanılarak geliştirilmesi ve ardından “nihayetinde tedarikçilerin belirli risk katmanlarına atanması” gerektiğini söyledi.
Adler, “Bu model, sağlık kuruluşlarına, daha etkili bir gözetim için tedarikçilerine yönelik risk önceliklendirmesinde yardımcı olacak” dedi. HSCC’nin SMART araç kitinin sağlık kuruluşlarının “risk yol haritasını” oluşturmaya başlamalarına yardımcı olabileceğini söyledi.