Sağlık Hizmetleri, Sektöre Özel, Standartlar, Yönetmelikler ve Uyumluluk
Hastaneler İçin Yeni Asgari Siber Yönetmelikler Bekleniyor, Peki Bu Yeterli mi?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
20 Haziran 2024
Biden yönetimi önümüzdeki haftalarda ABD sağlık sektöründe siber güvenliği artırmayı amaçlayan yeni düzenlemeler yayınlayacak. Hastanelerin, Sağlık ve İnsani Hizmetler Bakanlığı’nın Ocak ayında yayınladığı “siber güvenlik performans hedeflerine” dayalı yeni “minimum” talimatları uygulaması gereken ilk kuruluşlar olması bekleniyor – en azından başlangıçta.
Ayrıca bakınız: Siber Depolama Veri Güvenliğinin Yeni Paradigması mı?
Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, bu hafta Washington DC’de düzenlenen bir etkinlikte, yönetimin aylardır sağlık sektörü grupları ve siber güvenlik liderleriyle işbirliği yaparak birkaç hafta içinde yayınlanması beklenen yeni düzenlemeleri hazırlamak için işbirliği yaptığını söyledi. çıkış Semafor.
Sağlık sektörünün, tüm kritik altyapı sektörleri arasında bitmek bilmeyen tehditlere karşı en savunmasız sektörlerden biri olmaya devam ettiğini söyledi. “COVID’den sonra zor bir dönemdi. Daha fazla sistem devreye alındı. Bu nedenle hastanelerin gerçekten güvenliğe odaklanması ve iki katına çıkması gerekiyor” dedi.
Etkinlikte konuşan Neuberger, hasta bakımında ciddi aksamalara neden olan siber tehditlere karşı hastanelerin çok daha iyi bir iş çıkarmasını sağlamanın “başkan için gerçekten bir öncelik olduğunu” söyledi.
“Hastanelerde asgari güvenlik uygulamalarına ilişkin bir kural üzerinde çalışıyoruz. Sektörden görüş almak amacıyla Amerikan Hastaneler Birliği ile yakın işbirliği içinde çalışıyoruz” dedi.
Siber Güvenlik Performans Hedefleri
Ocak ayında HHS, sağlık sektörünü siber saldırılardan daha iyi korumak için tasarlanmış 10 “temel” ve 10 “gelişmiş” siber güvenlik performans hedefi yayınladı (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
O zamanlar CPG’ler “gönüllü” olarak adlandırılsa da, HHS’nin Mart ayında yayınlanan 2025 mali yılı bütçe teklifi, 2029 mali yılından itibaren siber güvenlik standartlarını karşılayamayan belirli hastanelere yapılan ödemelerin azaltılması şeklinde mali cezalar içeriyor (bkz.: Federaller Siberi Desteklemek İçin Sağlık Sektörüne Sopa ve Havuç Sallıyor).
Önümüzdeki haftalarda HHS’nin yeni düzenlemelerinin başlangıçta “temel” CPG’lere odaklanması bekleniyor. Bunlar, çok faktörlü kimlik doğrulama ve güçlü şifreleme gibi en iyi uygulamaları ve kontrolleri içerir.
Sağlık hizmeti CIO’larından ve profesyonel bir dernek olan Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji’nin kamu politikasından sorumlu başkan yardımcısı Mari Savickis, “Gelecek talimatların gerçekten önemli olması bekleniyor – ve üyelerimizi yıllardır bu ana hazırlıyoruz” dedi. CISO’lar.
Sektör liderlerinden biri olan Savickis, “İhtiyaç duydukları her şeyin aslında iğneyi hareket ettirip, daha az başarılı saldırı, hasta bakımına daha az etki ve daha güçlü siber savunma gibi hepimizin görmek istediği sonuçları elde etmesini sağlamak büyük bir zorluktur” dedi. Sağlık sektörü siber güvenliğini iyileştirme yolları üzerinde beyin fırtınası yapmak üzere Ulusal Güvenlik Konseyi’nin ev sahipliği yaptığı son Beyaz Saray sempozyumuna katılmak.
Hastanelerin (en azından başlangıçta muhtemelen daha büyük olanlar) yeni gerekliliklere uyan ilk grup olması bekleniyor ve Medicare ve Medicaid Hizmetleri Merkezlerinden gelen mali teşvikler ve caydırıcı önlemler muhtemelen bu denklemin bir parçası olacak.
Ancak bazı uzmanlar, ABD’deki 7.300’den fazla hastaneye odaklanmanın sektörün siber güvenlik olgunluğu açısından büyük bir sıçrama yapmak için yeterli olmayacağını söyledi.
Bunun nedeni, hastanelere yönelik fidye yazılımı saldırılarının hasta bakımında kargaşaya yol açması ve ciddi güvenlik endişeleri yaratması olsa da, hastane dışındaki pek çok kurumun da benzer şekilde yıkıcı siber olaylara maruz kalmasıdır.
Buna sağlık sigortacıları ve üçüncü taraf sağlayıcılar da dahildir; bunların en önemlisi, Şubat ayında UnitedHealth Group’un Change Healthcare BT hizmetleri birimine düzenlenen ve hasta bakımını destekleyen kritik iş operasyonlarının kesintiye uğraması nedeniyle sektörü dize getiren siber saldırıdır (bkz.: Sağlık Hizmeti Saldırısını ‘Yıkıcı’ Doküman Uygulamalarıyla Değiştirin).
Sektörün birçok alt sektörü ile federal hükümet arasındaki irtibatı sağlayan Sağlık ve Kamu Sağlığı Sektörü Koordinasyon Konseyi’nin siber güvenlikten sorumlu genel müdürü Greg Garcia, “Yalnızca hastanelere odaklanmak sorunun yalnızca yarısını karşılıyor” dedi.
Son Beyaz Saray forumuna katılan Garcia, “Change Healthcare ve diğer birçok teknoloji ve hizmet sağlayıcı gibi üçüncü taraflar, özellikle hasta güvenliği söz konusu olduğunda yeterince yüksek bir güvenlik standardına tabi tutulmayan savunmasız tehdit vektörleridir” dedi.
Diğer uzmanlar da bu değerlendirmeye katılıyor. Savickis, “Hastaneler ve hizmet sağlayıcılar pastanın sadece bir parçası. Sağlık ekosisteminin geri kalanı da ilerleme kaydedemezse, o zaman çok daha büyük bir yapbozun yalnızca bir parçasını çözmüş oluyoruz” dedi.
“Daha da önemlisi, hastaneler uygulamalarını geliştirebilirken, üçüncü taraflardan satın aldıkları araçlara güvendiklerini ve güvenliklerinin hastanenin kontrolü dışında olduğunu tekrarlamakta fayda var. Bu, siber güvenliğin ortak bir sorumluluk olduğu anlamına geliyor” dedi.
Ayrıca, nakit ve kaynak sıkıntısı çeken birçok hastane ve diğer sağlık kuruluşları, bırakın siber güvenlik testleri gibi “geliştirilmiş” uygulamaları, “temel” olanları bile – kritik güvenlik uygulamalarını ve kontrollerini uygulamaya koyacak kadar derin ceplere veya beceri setlerine sahip değil.
Savickis, “CHIME, bir dizi en iyi siber güvenlik uygulaması ve standardına olan ihtiyacı desteklemektedir, ancak bunların finansman olmadan karşılanması, özellikle daha küçük ve kaynakları yetersiz hastaneler için zorluklar yaratacaktır” dedi.
Dengeleme Yasası
Neuberger, sektör liderlerinin bu ince ayrıntıların bazılarını ortaya çıkarmaya çalıştığını söyledi. “Hükümetin uygulamaya koyması gereken politikalar nelerdir? Daha iyi yapabileceğimiz külfetli politikalar nelerdir?”
HHS’nin 2025 mali bütçe teklifi, hastanelerin önümüzdeki birkaç yıl içinde siber güvenliğe yatırım yapması için hibeler gibi 1,3 milyar dolarlık mali yardımı içeriyor. Garcia, bunun “bir başlangıç” olduğunu söyledi. “Ancak uyumsuzluk durumunda geri ödemenin bir kısmını kesen cezalandırıcı bir CMS çubuğunun kullanılmasının uygulanması zor olacak ve yetersiz hizmet alan sağlayıcılar üzerinde ek bir stres oluşturacaktır. Kıt kaynaklarla yetersiz hizmet alan sağlayıcı uyumuna odaklanmak, güvenliğin fiilen uygulanmasında bir yük oluşturabilir.”
ChristianaCare’in CISO’su ve Beyaz Saray forumunun bir katılımcısı olan Anahi Santiago, “Sağlık hizmetlerine yönelik saldırıların çoğu karmaşık saldırılardır” dedi.
“CPG’ler, kuruluşların bilgi güvenliği programlarını ve bir kuruluşun güvenlik duruşunu iyileştirmek için gerekli temelleri olgunlaştırmaları için harika bir temel oluşturur, ancak bir kuruluşun sektörümüzde görülen saldırı türlerini savuşturma yeteneğini garanti edemezler” dedi. .
“CPG’leri insanlara, süreçlere ve teknolojiye yatırım yapmakta zorlanan kuruluşlar için büyük bir odak alanı olarak görüyorum, ancak yetersiz hizmet alan birçok kuruluş için bunun uygulanmasının hala zor olacağını da kabul ediyorum.”
Yetersiz kaynaklara sahip kuruluşların bazı endişelerinin giderilmesine yardımcı olmak amacıyla Beyaz Saray, AHA ile işbirliği içinde, ülkenin 1.800 kırsal hastanesine sınırlı süreli ücretsiz eğitim ve siber güvenlik teknolojisi sağlamak üzere Microsoft ve Google ile bir ortaklık kurdu (bkz. : Microsoft ve Google Kırsal Hastanelere Siber Yardım Sunuyor).
Neuberger, “Bu hastaneler gerçekten çevredeki tek hastaneler, dolayısıyla bir siber saldırıya uğrarlarsa Amerikalıların sağlık hizmetlerine erişimi olmayacak” dedi.
Ancak Garcia, sağlık alanında uzmanlaşmayan iki teknoloji devi Google ve Microsoft’un kısa süre önce duyurduğu siber eğitimin, özellikle de ücretsiz veya indirimli yardımın yalnızca bir yıl sonra sona ermesi nedeniyle zaman içinde etkili olmasının pek mümkün olmadığını söyledi.
“Bundan sonra ne olacak? Toplumda, Beyaz Saray’ın sağlık alanındaki büyük teknolojilerin ticari çıkarlarını desteklediğine dair bazı şaşkınlıklar var, oysa eski sağlık CISO’ları tarafından yönetilen ve yalnızca sağlık hizmetleri siber güvenlik hizmetleri sağlayan çok sayıda özel firma var” dedi. .
Garcia, CPG’lerin genellikle daha iyi siber güvenlik için doğru yaklaşım olmasına rağmen “ne yapılması gerektiği” konusunda yalnızca “neyi” oluşturduğunu söyledi. HSCC, sağlayıcıların ve diğer sağlık sektörü paydaşlarının “nasıl” konusunda plan yapmasına yardımcı oluyor. – bunun nasıl yapılacağı ve bunun etrafında organize edileceği” dedi.
Garcia, HSCC ve HHS tarafından 2023’te ortaklaşa yayınlanan Sağlık Endüstrisi Siber Güvenlik Uygulamalarının “nasıl” olduğunun bir örneği olduğunu söyledi.
“Beyaz Saray iğneyi hareket ettirmek istiyorsa, HICP’nin benimsenmesini teşvik etmeleri ve geniş bir siber güvenlik stratejileri yelpazesiyle sektör genelinde bir sağlıklı yaşam planı ortaya koyan HSCC beş yıllık Sağlık Endüstrisi Siber Güvenlik Stratejik Planının arkasında durmaları gerekecek 2029 yılına kadar stabil duruma gelmemizi sağlayacak” dedi (bkz: HSCC, Sağlık Sektörüne Yönelik Siber ‘Eylem Çağrısı’ Planı Yayımladı).
“Genel olarak HHS ile HSCC’deki 400’den fazla sağlık kuruluşu arasındaki işbirliğinin operasyonel ve politika uyumu açısından gerçek bir çekiş görmeye başladığına ve Beyaz Saray’ın parmağını çıkmaza sokmak yerine bu ortaklığı desteklemesi gerektiğine inanıyoruz. “
HHS, Bilgi Güvenliği Medya Grubu’nun, bekleyen kural oluşturma konusunda yorumda bulunmadığını söyleyerek yorum taleplerini reddetti.
AHA ayrıca ISMG’nin yorum talebine de hemen yanıt vermedi.
Devlet Çabaları
Federal hükümet yeni sağlık sektörü siber güvenlik düzenlemeleri oluşturmaya çalışırken, en az bir eyalet hastaneler için kendi siber gereksinimlerini yazmaya şimdiden önde başladı (bkz: NY Eyaleti Hastaneler için Yeni Siber Kayıtları Gözetliyor; 500 Milyon Dolarlık Fiyat Etiketi).
New York eyaleti Aralık ayında “genel hastaneler” için önerilen siber düzenleme taslaklarını yayınladı ve bunlar daha sonra 60 günlük bir kamuoyu yorumuna tabi tutuldu. Eyalet DOH’un bir sözcüsü ISMG’ye verdiği demeçte, eyaletin Sağlık Bakanlığı’nın 15 Mayıs’ta değişiklikler yaptığını ve revize edilmiş kural oluşturmayı yayınladığını ve şu anda 1 Temmuz’da kapanması planlanan bir kamu yorumu döneminden geçtiğini söyledi.
“Mevcut kamuoyu görüşü dönemi sona erdikten sonra Bakanlık, düzenlemeyi nihai onay ve kabul için Kamu Sağlığı ve Sağlık Planlama Konseyi’ne geri göndermeden önce tüm yorumları bir kez daha değerlendirecek. Kabul edildikten sonra hastanelerin uyumlu hale gelmesi için bir yıl olacak Yeni düzenlemelerle.”
New York Eyaleti Sağlık Komiseri Dr. James McDonald, ISMG’ye yaptığı açıklamada, “Vali Kathy Hochul’un liderliğinde, New York Eyaleti, sağlık sistemimiz için kritik öneme sahip olan siber savunmasını önemli ölçüde geliştirdi” dedi. “Hastaneleri koruduğumuzda hastaları da koruruz. Ülke lideri bu siber güvenlik hastane düzenlemeleri, kritik sistemlerin siber tehditlerden korunmasına yardımcı olarak ve New York’un hastaneleri ile sağlık tesislerinin güvende kalmasını sağlayarak Valinin eyalet önceliği üzerine kuruludur.”
Hastaneler için önerilen en son New York Eyaleti siber düzenlemeleri, risk değerlendirmelerinin yürütülmesinden çok faktörlü kimlik doğrulamanın uygulanmasına kadar uzanan uzun bir gereksinim listesi içeriyor.