OIG Denetim Bulguları, Diğer Sağlık Kuruluşlarına Aşina Olan Zayıf Yönleri İçerir
Marianne Kolbasuk McGee (SağlıkBilgisi) •
19 Ocak 2023
Güvenlik açığı yönetimi sorunları, birçok sağlık kuruluşu için ortak bir sorundur ve düzeltilmemiş sorunlar yıllarca askıda kaldığında daha da büyük bir endişe haline gelebilir.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Çarşamba günü yayınlanan bir raporda denetçilerin ilk olarak 2015 yılında tespit edilen “yüksek riskli bir güvenlik açığını” beslediğini söyledikleri bir Alabama Veterans Affairs tıp merkezinde durum böyle görünüyor. Merkezi incelemeye Mart ayında başlayan denetçiler, merkezin hala aktif olduğunu söylüyor . Gazi İşleri Departmanı Genel Müfettiş Ofisi’nin raporu, bu yüksek riskli güvenlik açığının doğasını açıklamadı.
Yine de, gizlilik ve güvenlik danışmanlığı şirketi tw-Security başkanı Tom Walsh, “yedi yıldan uzun bir süre önce tespit edilen ve henüz düzeltilmemiş olan ‘yüksek riskli’ bir güvenlik açığı: BT dünyasında bu gerçekten uzun bir zaman” diyor. Bilgi Güvenliği Medya Grubu’nun talebi üzerine denetim raporunu inceleyen kişi.
Tuscaloosa VA Tıp Merkezi, Alabama Üniversitesi yakınında bulunan ve yaklaşık 15.000 gaziye hizmet veren 3. seviye bir üçüncü basamak sağlık tesisidir. Tesis birinci basamak, uzun süreli bakım, ruh sağlığı hizmetleri ve özel bakım sunmaktadır.
Denetçiler, departmanın BT çalışanları tarafından ilk kez tespit edildikten sonra eksikliği gidermek için bir plan geliştirildiğini gösteren kanıtları ortaya çıkarmadıklarını söylüyorlar.
Walsh, “Kaynak kısıtlamalarından bağımsız olarak, bu şimdiye kadar ele alınmalı veya en azından neden çözülmediğine dair geçerli bir neden sunulmalıydı” diyor.
Tuscaloosa VA Tıp Merkezi yönetimi, denetçilere güvenlik açığını gidermek için bir plan ve hedef tarih oluşturacağını söyledi.
Tuscaloosa tıp merkezi, OIG tarafından denetlenen ve benzer uzun vadeli güvenlik açığı sorunlarının tespit edildiği ilk VA tesisi değildir.
Eylül ayında yayınlanan bir güvenlik denetimi raporu, eski ekipman kullanan bir Texas VA ayakta tedavi kliniğinin de güvenlik açıkları sunduğunu söyledi (bakınız: VA Center’ın Diğer Sağlık Kuruluşlarında Yaygın Olan BT Eski Kusurları).
OIG Tavsiyeleri
Denetçiler, güvenlik açığı yönetimini içerenler de dahil olmak üzere Tuscaloosa tesisindeki güvenlik eksikliklerinin ele alınması için sekiz tavsiyede bulundular. VA BT liderliği ve tıp merkezinin müdürü çoğuyla hemfikirdi ve harekete geçmeyi kabul etti.
OIG’nin tavsiyeleri şunları içerir:
- Denetim sırasında tespit edilen güvenlik eksikliklerini gidermek için daha etkili bir güvenlik açığı yönetim programı uygulamak;
- Güvenlik açıklarının belirlenen zaman dilimlerinde düzeltilmesini sağlamak;
- Tesisteki tüm veritabanlarının periyodik bir veri tabanı tarama sürecinin parçası olmasını sağlamak;
- Sistem yöneticilerinin, güvenlik kontrol değerlendirmeleri sırasında tanımlananlar da dahil olmak üzere bilinen tüm güvenlik riskleri için eylem planlarını ve kilometre taşlarını güncellemelerini sağlamak için gelişmiş mekanizmaların uygulanması;
- Tıbbi cihazlar ve özel amaçlı sistemler ile tüm ağ segmentlerine segmentasyon kontrollerinin uygulanmasını sağlamak;
- Veritabanı denetim günlükleri oluşturmak ve denetim olaylarını analiz için iletmek için uygulama yetenekleri;
- Altyapı ekipmanlarına sahip iletişim odalarının yeterli çevresel kontrollere sahip olmasını sağlamak;
- Altyapı ekipmanlarını destekleyen iletişim odalarında kesintisiz güç kaynaklarının kurulması.
Tuscaloosa VA Tıp Merkezi, ISMG’nin rapor hakkında yorum yapma talebine hemen yanıt vermedi.