Yasa Tasarısı, CISA ve HHS’nin Sağlık Sektörü Siber Güvenlik Çalışmalarını Artırmak İçin Çaba Göstermesini İstiyor

Perşembe günü Senatörler Jacky Rosen, Demokrat Partili; Todd Young, Cumhuriyetçi Partili; ve Angus King, Cumhuriyetçi Partili Maine Senatörleri tarafından sunulan 2024 Sağlık Siber Güvenlik Yasası, son birkaç ayda sağlık ve kamu sağlığı sektörlerinin siber güvenliğini güçlendirmeyi amaçlayan bir dizi iki partili kongre çabasının sonuncusudur.

Yasa tasarısı, yakın zamanda gerçekleşen büyük siber saldırıların – özellikle UnitedHealth Group’un Change Healthcare BT hizmetleri birimine yönelik Şubat ayındaki fidye yazılımı saldırısının – ardından geldi. Bu saldırı, ülke çapında binlerce sağlık hizmeti sağlayıcısının hasta uygunluk kontrolleri ve talep işleme dahil olmak üzere kritik operasyonlarını haftalarca aksattı. Şirket, ortaya çıkan veri ihlalinin Amerikan nüfusunun üçte birini veya belki de 100 milyon kişiyi etkilediğini tahmin etti.

Milletvekilleri, Change Healthcare’e yönelik fidye yazılımı saldırısının, kurtarma sürecinde hazırlık ve eğitim eksikliğini ortaya çıkardığını belirtti.

Yasa tasarısı, CISA ve HHS’nin sağlık sektörü siber güvenliğinin nasıl iyileştirileceğinin araştırılması ve işbirliği yapması çağrısında bulunuyor. Ayrıca, siber tehdit göstergeleri ve uygun savunma önlemleriyle ilgili federal olmayan kuruluşlara kaynak sağlamayı öneriyor.

Önerilen yasa tasarısı ayrıca, siber güvenlik olayları sırasında koordinasyonu sağlamak ve sağlık ve kamu sağlığı sektörü kuruluşlarını desteklemek için CISA bünyesinde HHS ile özel bir irtibat biriminin oluşturulmasını öngörüyor.

Rosen açıklamasında, “Sağlık sektörü son siber saldırılardan hâlâ sarsılmış durumda ve Nevada’daki kırsal ve küçük sağlık kuruluşları özellikle etkilendi,” dedi. “Sağlık sektöründe veri ihlallerini önlemek için siber güvenliği iyileştirmek için önlemler almamız zorunludur.”

Daha Acil Duruma İhtiyaç Var

Bazı uzmanlar, yasa tasarısının takdire şayan olduğunu ancak özellikle aciliyet açısından hedefi tutturamadığını söylüyor.

Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin baş güvenlik görevlisi Errol Weiss, “Senatörler Rosen, King ve Young’ın sağlık hizmetlerinde siber güvenliği iyileştirmek için yaptıkları çalışmaları takdir ediyorum, ancak daha acil ihtiyaçlar var” dedi.

“Sorunu incelemek için 18 ay daha beklememize gerek yok. Birçok sağlık hizmeti sağlayıcı kuruluşunun siber güvenlik konusunda ciddi şekilde yetersiz kaynaklara sahip olduğunu biliyoruz. Bunu, hastane operasyonlarını aksatan fidye yazılımlarına ilişkin raporlarda hemen hemen her gün görüyoruz,” dedi.

Weiss, sağlık hizmeti sağlayıcılarının çok ihtiyaç duyulan teknolojiyi satın alacak bütçelere sahip olmadığını ve daha da kötüsü, deneyimli siber güvenlik uzmanlarını çekmek ve elde tutmak için gereken fona sahip olmadıklarını söyledi.

“Sektörün şu anda ihtiyacı olan şey bu. Sağlık hizmeti sağlayıcılarını yeterli şekilde korumak için kaynaklara, teknolojiye ve personele yatırım.”

Kongre Denetimi

Sağlık Sektörü Koordinasyon Konseyi’nde siber güvenlikten sorumlu yönetici direktör Greg Garcia, HHS ve sağlık sektörü kuruluşlarıyla birlikte çalışan kamu-özel sektör grubu olan Sağlık Sektörü Koordinasyon Konseyi’nde siber güvenlikten sorumlu yönetici direktör olarak görev yapan Greg Garcia, yeni yasa tasarısının, CISA ile ortaklık halinde HHS’deki siber güvenlik organizasyon yapısı içerisinde halihazırda geliştirilmekte olan birçok şeyi kongre denetimiyle kanunlaştıracağını söyledi.

“Kongre’nin kurumlara mikro yönetim yapmadan somut bir yön vermesi önemlidir,” dedi. “Bu yasa tasarısı bunu yapıyor gibi görünüyor, birincil sağlık siber güvenliği sorumluluğunu ve yetkisini HHS’ye CISA’nın desteğiyle veriyor.”

Garcia, yasa tasarısının, kurumların esasen Biden yönetiminin yakın zamanda yayınladığı Ulusal Güvenlik Muhtırası 22’de belirtilenleri yapmasını önerdiğini, yani kritik sağlık altyapısı haritalaması, risk değerlendirmesi ve bir yönetim planı hazırlamasını önerdiğini söyledi (bkz: Biden’ın Sağlık Sektörüne Yönelik Güvenlik Notunda Neler Var?).

Garcia, “Bu sürecin Kongre denetimine tabi tutulması, zamanla olgunlaşan ve bir yönetimin yürütme emrini aşan daha rutin bir hale getirebilir” dedi.

“Kritik sağlık hizmetleri işlevlerinin ve bunlarla ilişkili risklerin neleri kapsadığını belirleme sorumluluğu CISA’dan ziyade HHS’nin sorumluluğundadır.”

Diğer Çabalar

Rosen’in önerdiği yasa tasarısının ortak sponsorlarından biri olan King, aynı zamanda Change Healthcare saldırısından önce Şubat ayı başında Florida Senatörü Mark Rubio ile birlikte sunduğu bir yasa tasarısının da ortak sponsoruydu.

Söz konusu yasa tasarısı -Sağlık Hizmetlerinde Siber Güvenliğin Güçlendirilmesi Yasası- HHS’nin kendi BT sistemlerinde iki yılda bir siber güvenlik incelemeleri ve testleri yapmasını ve Kongre’ye siber güvenlik stratejisini gelişen siber tehditlerle başa çıkacak şekilde nasıl güncellediği konusunda rapor vermesini talep ediyor (bkz: İki Partili Yasa Tasarısı HHS’nin Siber Çabaları Güçlendirmesini Gerektiriyor).

Geçtiğimiz Kasım ayında, bir başka iki partili senatör grubu – Bill Cassidy, R-La.; Mark Warner, D-Va.; John Cornyn, R-Texas; ve Maggie Hassan, DN.H. – sağlık ve kamu sağlığı sektörlerinde siber güvenliği güçlendirmek için Senato Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi yetki alanındaki olası yasal çözümleri incelemek ve önermek üzere bir grup oluşturdu (bkz: Yeni İki Partili Senato Grubu Sağlık Siber Güvenlik Tasarısını Ele Alıyor).

Warner, Cuma günü HHS Bakanı Xavier Becerra ve Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger’e, Biden yönetimini sağlık sektörü için zorunlu asgari siber standartları hızla geliştirip yayınlamaya çağıran bir mektup gönderdi (bkz: Synnovis Saldırısı Şimdiye Kadar 8.000 NHS Hasta İşlemini Durdurdu).

Rosen, King ve Young’ın bu son tasarısının ivme kazanıp kazanmayacağı herkesin iddiası, dedi Garcia. “Bu mevcut siyasi ortamda, hareketin, hatta tasarıyı geçirmenin olasılıklarını tahmin etmek bile bir tahmin işidir.”