Mevzuat ve Dava, Standartlar, Düzenlemeler ve Uyumluluk
Sağlık Hizmetlerini ve Kamu Sağlığı Siber Güvenliğini Güçlendiren Önerileri İnceleyecek Çalışma Grubu
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Kasım 2023
Kongre üyeleri bugünlerde pek fazla konuda hemfikir değiller. Ancak Perşembe günü Senato’da başlatılan iki partili yeni bir çalışma grubu, sağlık sektöründe siber güvenliğin durumunu iyileştirmeye odaklanan potansiyel mevzuat için kongre desteğini toplamayı umuyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Senatör Bill Cassidy, R-La., Senato Sağlık, Eğitim, Çalışma ve Emeklilik komitesinin kıdemli üyesi ve Senatör Mark Warner, D-Va.; John Cornyn, R-Texas; ve Maggie Hassan, D-NH; ortak bir açıklamada, sağlık ve halk sağlığı sektöründe siber güvenliği güçlendirmek için YARDIM Komitesi yetki alanındaki potansiyel yasal çözümleri incelemek ve önermek üzere grubu kurduklarını söyledi.
Şu anda Kongre’de görev yapan 19 doktordan biri ve Senato’daki dört doktordan biri olan Cassidy ve Senato Seçilmiş İstihbarat Komitesi başkanı Warner, sağlık sektörü siber güvenliğini iyileştirmeye yönelik çabalar üzerinde çalışıyor.
Eylül ayında Cassidy, tıbbi araştırmaları destekleme ihtiyacını dengelerken sağlık verilerinin mahremiyetini ve güvenliğini iyileştirmenin yolları hakkında sağlık sektörü paydaşlarından bilgi talebinde bulundu (bkz: ABD Senatosu Hasta Gizliliğini Koruma Yolları Konusunda Görüş İstiyor).
Cassidy, görev grubuyla ilgili ortak açıklamasında, “Sağlık sistemimize yönelik siber saldırılarda rahatsız edici bir artış görüyoruz. Bu saldırılar, hastaların hassas sağlık verilerini riske atmanın yanı sıra hayat kurtaran bakımı da geciktirebilir” dedi. Güçlü askeri ve polis gücü bizi fiziksel saldırılara karşı koruyorsa, sağlık kurumlarının artan siber tehditlere karşı koruma sağlamasını ve Amerikalıların önemli sağlık verilerini koruyabilmesini sağlamalıyız.”
Warner geçen Kasım ayında, sağlık sektörü siber güvenliğinin durumunun iyileştirilmesine yardımcı olacak çeşitli politika seçenekleri hakkında kamuoyunun geri bildirimini isteyen bir teknik inceleme yayınladı (bkz.: ABD Senatörü Siber Güvenliğin Hasta Güvenliği Olduğunu Söyledi).
Warner’ın incelediği politika konuları arasında, Medicare’e katılan kuruluşlar için standart işletim prosedürü olarak minimum güvenlik uygulamalarını uygulamaya yönelik potansiyel talimatlar, HIPAA’nın modernleştirilmesi ve “uzlaşıya dayalı” sağlık hizmetlerine özel bir siber güvenlik çerçevesi geliştirilmesi yer alıyordu.
Warner, Information Security Media Group’a Şubat ayında yaptığı bir video röportajında şöyle konuştu: “Herkesin ‘Allah kahretsin’ demesine ve ardından potansiyel olarak Kongre’nin aşırı tepki vermesine yol açacak büyük bir siber sağlık olayı olmaktan korkuyorum.”
O dönemde Warner, sağlık sektörü kuruluşlarını siber güvenlik duruşlarını iyileştirmeye ve diğer önemli güvenlik endişelerini gidermeye teşvik etmek amacıyla bu yıl içinde yeni iki partili mevzuat için destek toplamayı hedeflediğini söyledi.
Çalışma grubunun ortak açıklamasında Warner, Senato Seçilmiş İstihbarat Komitesi başkanı olarak ABD’nin karşı karşıya olduğu en ciddi tehditlerin “kesinlikle farkında olduğunu” söyledi.
“Siber güvenliğimizi desteklemenin kendimizi ve hassas malzemelerimizi korumak için sahip olduğumuz en iyi araçlardan biri olduğunu biliyorum” dedi. “Hiçbir sektörde bu, bakımın giderek bağlantılı olduğu ve kısa süreli bir kesintinin bile ölüm kalım sonuçları doğurabileceği sağlık hizmetlerinden daha açık ve önemli değildir.”
Cuma itibarıyla, Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlali Raporlama Aracı web sitesi, 2023’te şu ana kadar bildirilen 561 büyük sağlık verisi ihlalini gösteriyor. Senatörlere göre, bu ihlaller “rekor 89 milyon Amerikalıyı” etkiliyor; bu rakam geçen yıldan bu yana iki kattan fazla. ‘ ifade. Açıklamada, “Bu siber saldırılar sağlık hizmetleri operasyonlarını ciddi şekilde etkiliyor, ihlal başına ortalama 10 milyon dolara mal oluyor ve bakımın kesintiye uğramasına veya uzun vadeli gecikmelere yol açıyor” deniyor.
Cassidy, Warner ve Cornyn’in ofisleri, Bilgi Güvenliği Medya Grubu’nun daha fazla yorum yapma taleplerini reddetti. Hassan, ISMG’nin yorum taleplerine hemen yanıt vermedi.
Dengeleme Yasası
Bazı uzmanlar, sorunların pek çok yasa koyucu için ciddi kaygılar oluşturmasına rağmen, sağlık sektöründe siber güvenliği iyileştirmeyi amaçlayan mevzuatın Kongre’de iki partiden de yaygın bir destek alıp alamayacağının belirsiz olduğunu söyledi.
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, “Sağlık hizmeti bilgi güvenliğini iyileştirme amacının iki partili olduğunu düşünsem de, bunu yapmanın en iyi yolu konusunda fikir birliğine varılacağından emin değilim” dedi. “Örneğin, en iyi yaklaşımın düzenlemelerin artırılması ve/veya finansmanın artırılması olup olmadığı konusunda fikir birliği olmayabilir” dedi.
Siber güvenliği güçlendirmede sağlık sektörüne en fazla fayda sağlayabilecek potansiyel federal hükümlere gelince, kanun koyucuların çeşitli sopa ve havuçları değerlendirirken bir denge kurması gerektiğini söyledi.
Greene, “Sağlık hizmeti sağlayıcılarının, özellikle de küçük olanların, karşılaştıkları tüm güvenlik zorluklarına ayak uydurmaları giderek zorlaşıyor” dedi.
“Kongre, sağlık hizmeti sağlayıcılarının güvenliklerini iyileştirmelerini kolaylaştırmak için yeni yasal zorunlulukları finansman yöntemleriyle yumuşatmalı.”