HIPAA Güvenlik Kuralı, sağlık hizmeti sağlayıcıları, sağlık planları ve hassas hasta verilerini işleyen diğer kişiler için çok faktörlü kimlik doğrulama, şifreleme ve ağ bölümleme gibi temel güvenlik uygulamalarını zorunlu kılacak yeni bir teklif kapsamında 2013’ten bu yana ilk güncellemesini alacak.
Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası’nın Güvenlik Kuralı’nda önerilen değişiklikler bu hafta yayınlandı ve 6 Ocak Federal Sicilinin 125 üç sütunlu sayfasını kapladı. ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), yeni güvenlik gereksinimlerinin ilk beş yılda 30 milyar dolardan fazlaya mal olacağını tahmin ediyor, ancak sağlık hizmeti veri ihlalleri ve fidye yazılımı saldırılarıyla geçen zorlu bir yılın ardından, daha güçlü güvenlik kontrolleri en kötü durumda bile destek bulabilir. Capitol Hill’de daha sıkı bir düzenleme ortamı.
HHS Sekreter Yardımcısı Andrea Palm, yaptığı açıklamada, “Sağlık sektöründeki siber saldırıların artan sıklığı ve karmaşıklığı, hasta güvenliğine doğrudan ve önemli bir tehdit oluşturuyor.” dedi. “Bu saldırılar, sağlık sistemimizdeki açıkları ortaya çıkararak, hastaların güvenini zedeleyerek, hasta bakımını aksatarak, hastaların dikkatini dağıtarak ve tıbbi prosedürleri geciktirerek hastaları tehlikeye atıyor. Önerilen bu kural, sağlık hizmeti sağlayıcılarının, hastaların ve toplulukların yalnızca bir siber saldırıyla yüzleşmeye daha hazırlıklı olmalarını değil, aynı zamanda daha güvenli ve dayanıklı olmalarını sağlamak için hayati bir adımdır.”
HIPAA Güvenlik Kuralı Şifreleme, MFA ve Daha Fazlasını Ekler
Teklif şu anda 60 günlük bir kamu yorumu sürecinde ve sonrasında HHS, nihai bir kurala geçmeden önce geri bildirimi değerlendirecek. Yeni HIPAA güvenlik gereksinimleri, sağlık planları, sağlık hizmeti takas odaları (sağlayıcılar ve sigortacılar arasında sağlık hizmeti verilerinin alışverişini sağlayan kuruluşlar), çoğu sağlık hizmeti sağlayıcısı ve iş ortakları için geçerli olacaktır.
Bir HHS bilgi formu, teklife ilişkin iyi bir genel bakış sağlar ve ayrıca risk değerlendirmesi, olay müdahalesi, yazılı politikalar ve prosedürler ile düzenli inceleme, test etme ve güncelleme gerekliliklerini de ekler.
Güncellenmiş HIPAA Güvenlik Kuralının gerektireceği siber güvenlik kontrolleri şunları içerir:
- ePHI’nin (elektronik korumalı sağlık bilgileri) “sınırlı istisnalar dışında, beklemede ve aktarım halindeyken” şifrelenmesi.
- Kötü amaçlı yazılımlara karşı koruma, ilgili elektronik bilgi sistemlerinden yabancı yazılımların kaldırılması ve “düzenlenen kuruluşun risk analizine uygun olarak” ağ bağlantı noktalarının devre dışı bırakılması da dahil olmak üzere “iş istasyonları da dahil olmak üzere ilgili elektronik bilgi sistemlerinin tutarlı bir şekilde yapılandırılmasına yönelik teknik kontrollerin” oluşturulması.
- “Sınırlı istisnalar dışında” çok faktörlü kimlik doğrulamanın kullanılmasını gerektirir.
- En az altı ayda bir güvenlik açığı taramasının ve en az yılda bir penetrasyon testinin zorunlu kılınması.
- Ağ bölümlendirmesi gerektirir.
- “ePHI ve ilgili elektronik bilgi sistemlerinin yedeklenmesi ve kurtarılması için ayrı teknik kontroller” gerektirmesi.
Düzenlemeye tabi kuruluşların “güvenlik önlemlerini sürdürmeye yönelik mevcut genel gereklilik yerine, belirli güvenlik önlemlerinin etkinliğini en az her 12 ayda bir incelemesi ve test etmesi” gerekecek.
Varlık Envanteri, Ağ Haritası, Olay Müdahale Gereksinimleri
Teklifte risk değerlendirmesi, denetim ve olay müdahale planlaması da zorunlu kılınacak. Önerilen gereksinimlerden bazıları şunlardır:
- En azından yıllık olarak veya ePHI’yi etkileyen değişikliklere yanıt olarak güncellenecek olan, ePHI’nin “düzenlenen kuruluşun elektronik bilgi sistemleri boyunca” hareketini gösteren bir teknoloji varlık envanteri ve ağ haritasının geliştirilmesi.
- Bir iş gücü üyesinin ePHI’ye veya belirli elektronik bilgi sistemlerine erişimi değiştirildiğinde veya sonlandırıldığında, düzenlemeye tabi kuruluşlara 24 saat içinde bildirimde bulunulmasının zorunlu kılınması.
- İlgili elektronik bilgi sistemlerinin ve verilerin 72 saat içinde geri yüklenmesini içeren olay müdahale planlarının hazırlanması.
- En az yılda bir kez bir Güvenlik Kuralı uyumluluk denetiminin gerçekleştirilmesi ve iş ortakları için doğrulama gereklilikleri.
Çözüm
Önerilen HIPAA Güvenlik Kuralı gereksinimleri, veri ihlallerini ve fidye yazılımı saldırılarını önlemek veya bunlardan kaynaklanan zararı sınırlamak için yaygın olarak kabul edilen siber güvenlik en iyi uygulamalarına dayanmaktadır.
Bu nedenle, özellikle de hasta sağlığının çok sayıda siber saldırı nedeniyle tehlikeye girdiği bir yılın ardından, bu tehlikeler sağlık hizmeti siber güvenliğinin iyileştirilmesi gerektiği konusunda iki partili bir anlaşmaya varılmasına yol açtı.
Sağlık sektöründe bir veri ihlalinin ortalama maliyeti diğer sektörlere göre çok daha yüksek olduğundan, sağduyulu güvenlik kontrolleri, sağlık kuruluşlarının paradan tasarruf etmesini ve bu süreçte hasta mahremiyetini iyileştirmesini sağlayabilir.
İlgili