Sağlık kuruluşları için siber güvenlik standartlarını belirlemeyi amaçlayan yeni federal mevzuata ihtiyaç var, ancak uzmanlar, birçok hastanenin savunmalarını uyumlu hale getirmek ve bu iyileştirmeleri sürdürmek için muhtemelen daha fazla fona ihtiyaç duyacağını söylüyor.
Geçtiğimiz ay Senatör Ron Wyden ve Mark Warner tarafından uygulamaya konulan Sağlık Altyapısı Güvenliği ve Sorumluluk Yasası, HHS’yi, sistemik olarak önemli kuruluşlar ve bu kuruluşlar için daha güçlü gereksinimler de dahil olmak üzere sağlayıcılar, sağlık planları, talep takas merkezleri ve iş ortakları için minimum siber güvenlik standartları geliştirmeye yönlendirecek. ulusal güvenliğin anahtarı olarak görülüyor.
Ayrıca kapsam dahilindeki kuruluşların yıllık güvenlik riski denetimleri yapmaları ve hastanelere siber güvenlik uygulamalarını benimsemelerine yardımcı olmak için fon sağlamaları da gerekecek. Tasarı geçen ayın sonlarında havale edildi değerlendirilmek üzere Senato Maliye Komitesine sunulur.
Warner, tasarı yayınlandığında yaptığı açıklamada, “Halihazırda ülke çapındaki kurumları hedef alan saldırılar göz önüne alındığında, gönüllü standartların ötesine geçmenin ve sağlık hizmeti sağlayıcıları ile satıcıların siber güvenlik ve hasta güvenliği konusunda ciddi olmalarını sağlamanın zamanı geldi” dedi.
Uzmanlar, özellikle sağlık sektörünün genellikle tehlikeli saldırılara karşı savunmasız olması nedeniyle tasarının siber hazırlığı artırmak için iyi bir başlangıç noktası olduğunu söylüyor.
Sağlık hizmetleri siber güvenlik firması Clearwater’ın CEO’su Steve Cagle, “Tüm sektörün istediğini yapmasına izin veremeyiz” dedi. “Biraz Vahşi Batı’dan bahsediyoruz.”
‘Okyanusta küçük bir damla’
Mevzuat, temel siber güvenlik standartlarını benimsemek için 2.000 kırsal ve kentsel güvenlik ağı hastanesine iki yıl içinde 800 milyon dolar tahsis edecek. Ayrıca tüm hastaneleri gelişmiş siber uygulamaları takip etmeye teşvik etmek için 500 milyon dolar sağlanacak.
Ancak West Monroe’nun siber güvenlik uygulamaları danışmanlığından sorumlu genel müdür David Chaddock, bu fonların muhtemelen tüm hastanelerin siber iyileştirmeleri benimsemesi ve sürdürmesi için yeterli olmayacağını söyledi.
“Bu okyanusta küçük bir damla olacak” dedi.
Cagle, sorunun şu ki siber güvenliğin yalnızca tek bir yatırım gerektiren bir konu olmadığını, çok sayıda personele ihtiyaç duyan sürekli bir uygulama olduğunu söyledi.
İşçi bulmak zor olabilir. Siber güvenlik alanında yetenek sıkıntısı dünya çapında zaten mevcut ve sağlık sistemlerindeki maaşlar, siber çalışanların peşinde olan diğer sektörlerdeki maaşlarla çoğu zaman rekabet edemiyor.
Cagle, yetersiz kaynaklara sahip hastanelerin muhtemelen deneyimli bir siber güvenlik liderini çekecek ölçeğe sahip olmayacağını ve buna ayak uydurabilmek için siber güvenlik programlarını dışarıdan bir sağlayıcıya yaptırmaları gerekebileceğini söyledi.
Özellikle hastanelerin yeni ekipman veya hemşire istihdamı gibi başka ihtiyaçları olduğunda bunu bütçelerine sığdırmak zor olabilir.
Bazı küçük hastanelerin BT departmanlarında toplamda yalnızca bir veya iki kişi istihdam edilirken, daha büyük sağlık sistemlerinde yalnızca güvenliğe adanmış düzinelerce personel bulunmaktadır.
Cagle, tehditleri izlemenin, şüpheli etkinlikleri tespit etmenin, potansiyel saldırılara yanıt vermenin ve hastanelerin teknoloji sistemlerindeki güvenlik açıklarını düzeltmenin 7/24 yapılan bir iş olduğunu ve yılın 365 günü ihtiyaç duyulduğunu söyledi.
Politika ve prosedür yazımı, teknik testler ve risk analizi gibi diğer önemli çalışmalar buna dahil değildir.
“Bunlar sahip olmamız gereken temel, temel şeyler. Çok sayıda insan var ve çok sayıda beceri seti var” dedi Cagle. “Para onlara yardım edecek. [But] onlara yeterince insan vermeyeceksin.”
Daha kuralcı siber değerlendirmeler
Morrison Foerster hukuk firmasının ortağı Melissa Crespo, sağlık hizmetlerinin mahremiyeti ve güvenliği söz konusu olduğunda HIPAA’nın uzun süredir başvurulan yasa olduğunu söyledi.
Ancak yasa 1996’da çıktı. Sağlık teknolojisinde farklı bir dönem. Crespo yıllar sonra uygulamaya başladığında bile çoğu veri ihlali, düşman ülkeler tarafından desteklenen fidye yazılımı saldırılarıyla değil, kaybolan dizüstü bilgisayarlar veya kağıt kayıtlarla ilgiliydi.
Crespo, HIPAA’nın ayrıca kapsam dahilindeki kuruluşların güvenlik riski değerlendirmeleri yürütmesini gerektirdiğini, ancak bunun daha genel bir çerçeve olduğunu ve kuruluşların incelemeleri dahili olarak gerçekleştirebileceğini söyledi.
En son yasa tasarısı şöyle olacak Sağlık kuruluşlarının bağımsız bir güvenlik riski analizini belgelemesini, saldırı durumunda bir kurtarma planı geliştirmesini ve yıllık bazda yeteneklerine ilişkin bir stres testi gerçekleştirmesini gerektiren çok daha kuralcıdır.
Şirketin CEO’su ve CISO’su Şirketlerinin mevzuata uygun olduğunu doğrulamak zorunda kalacaklar ve siber duruşları hakkında bilerek yanlış belgeler sunmaları veya raporlarını isteyerek sunmamaları halinde para cezası veya hapis cezasıyla karşı karşıya kalabilecekler.
Crespo, bu sorumluluğun bazı potansiyel liderleri bu rollerden kaçınmaya itebileceğini söyledi.
“Bu iki ucu keskin bir kılıç, çünkü bu rolden bir kuruluş için gerçekten güçlü güvenlik savunucuları olabilecek birçok insanı potansiyel olarak korkutacağını düşünüyorum” dedi. “Fakat aynı zamanda bu durum, uyma zorunluluğunu ve yükümlülüğünü ve bunu doğru yapma ihtiyacını da artırıyor.”
HHS ayrıca yeni gözetim sorumlulukları da üstlenecek. Tasarı, kurumun sistematik önemleri, uygulamalarıyla ilgili şikayetleri ve önceki ihlal geçmişleri dikkate alınarak seçilen en az 20 kuruluş veya iş ortağının veri güvenliği uygulamalarını yıllık olarak denetlemesini gerektirecek.
West Monroe’dan Chaddock, bu kararlardan bazılarının öncelik ve hizmet bölgesine göre verilebileceğini, bunun da devlet tesisleri yakınındaki Doğu Yakası hastanelerine odaklanabileceğini söyledi.
Uzmanlar, bunun hem sağlık kuruluşları hem de HHS için ek bir yük olduğunu söyledi. Ancak West Monroe’nun sağlık ve yaşam bilimleri uygulamalarının ortağı Elizabeth Southerlan, sektörün ağır düzenleme gerekliliklerine yabancı olmadığını söyledi.
“Hastaneler her şeyi bırakmaya o kadar alışkın ki [the Joint Commission] gelir ve sadece bunu yapar,” dedi. “[…] Denetim sırasında ne yaşayacakları belli değilse o zaman kaos olur. Ve eğer öngörülebilir değilse, o zaman bu kaos olur. Ancak hastaneler ne olacağını bilirlerse bunun üstesinden gelebilirler.”