Yeni mevzuat, sağlık hizmeti siber güvenliğinde ‘Vahşi Batı’yı ehlileştirmeyi amaçlıyor


Sağlık kuruluşları için siber güvenlik standartlarını belirlemeyi amaçlayan yeni federal mevzuata ihtiyaç var, ancak uzmanlar, birçok hastanenin savunmalarını uyumlu hale getirmek ve bu iyileştirmeleri sürdürmek için muhtemelen daha fazla fona ihtiyaç duyacağını söylüyor.

Geçtiğimiz ay Senatör Ron Wyden ve Mark Warner tarafından uygulamaya konulan Sağlık Altyapısı Güvenliği ve Sorumluluk Yasası, HHS’yi, sistemik olarak önemli kuruluşlar ve bu kuruluşlar için daha güçlü gereksinimler de dahil olmak üzere sağlayıcılar, sağlık planları, talep takas merkezleri ve iş ortakları için minimum siber güvenlik standartları geliştirmeye yönlendirecek. ulusal güvenliğin anahtarı olarak görülüyor.

Ayrıca kapsam dahilindeki kuruluşların yıllık güvenlik riski denetimleri yapmaları ve hastanelere siber güvenlik uygulamalarını benimsemelerine yardımcı olmak için fon sağlamaları da gerekecek. Tasarı geçen ayın sonlarında havale edildi değerlendirilmek üzere Senato Maliye Komitesine sunulur.

Warner, tasarı yayınlandığında yaptığı açıklamada, “Halihazırda ülke çapındaki kurumları hedef alan saldırılar göz önüne alındığında, gönüllü standartların ötesine geçmenin ve sağlık hizmeti sağlayıcıları ile satıcıların siber güvenlik ve hasta güvenliği konusunda ciddi olmalarını sağlamanın zamanı geldi” dedi.

Uzmanlar, özellikle sağlık sektörünün genellikle tehlikeli saldırılara karşı savunmasız olması nedeniyle tasarının siber hazırlığı artırmak için iyi bir başlangıç ​​noktası olduğunu söylüyor.

Sağlık hizmetleri siber güvenlik firması Clearwater’ın CEO’su Steve Cagle, “Tüm sektörün istediğini yapmasına izin veremeyiz” dedi. “Biraz Vahşi Batı’dan bahsediyoruz.”

‘Okyanusta küçük bir damla’

Mevzuat, temel siber güvenlik standartlarını benimsemek için 2.000 kırsal ve kentsel güvenlik ağı hastanesine iki yıl içinde 800 milyon dolar tahsis edecek. Ayrıca tüm hastaneleri gelişmiş siber uygulamaları takip etmeye teşvik etmek için 500 milyon dolar sağlanacak.

Ancak West Monroe’nun siber güvenlik uygulamaları danışmanlığından sorumlu genel müdür David Chaddock, bu fonların muhtemelen tüm hastanelerin siber iyileştirmeleri benimsemesi ve sürdürmesi için yeterli olmayacağını söyledi.

“Bu okyanusta küçük bir damla olacak” dedi.

Cagle, sorunun şu ki siber güvenliğin yalnızca tek bir yatırım gerektiren bir konu olmadığını, çok sayıda personele ihtiyaç duyan sürekli bir uygulama olduğunu söyledi.

İşçi bulmak zor olabilir. Siber güvenlik alanında yetenek sıkıntısı dünya çapında zaten mevcut ve sağlık sistemlerindeki maaşlar, siber çalışanların peşinde olan diğer sektörlerdeki maaşlarla çoğu zaman rekabet edemiyor.

Cagle, yetersiz kaynaklara sahip hastanelerin muhtemelen deneyimli bir siber güvenlik liderini çekecek ölçeğe sahip olmayacağını ve buna ayak uydurabilmek için siber güvenlik programlarını dışarıdan bir sağlayıcıya yaptırmaları gerekebileceğini söyledi.

Özellikle hastanelerin yeni ekipman veya hemşire istihdamı gibi başka ihtiyaçları olduğunda bunu bütçelerine sığdırmak zor olabilir.

Bazı küçük hastanelerin BT departmanlarında toplamda yalnızca bir veya iki kişi istihdam edilirken, daha büyük sağlık sistemlerinde yalnızca güvenliğe adanmış düzinelerce personel bulunmaktadır.

Cagle, tehditleri izlemenin, şüpheli etkinlikleri tespit etmenin, potansiyel saldırılara yanıt vermenin ve hastanelerin teknoloji sistemlerindeki güvenlik açıklarını düzeltmenin 7/24 yapılan bir iş olduğunu ve yılın 365 günü ihtiyaç duyulduğunu söyledi.

Politika ve prosedür yazımı, teknik testler ve risk analizi gibi diğer önemli çalışmalar buna dahil değildir.

“Bunlar sahip olmamız gereken temel, temel şeyler. Çok sayıda insan var ve çok sayıda beceri seti var” dedi Cagle. “Para onlara yardım edecek. [But] onlara yeterince insan vermeyeceksin.”

Daha kuralcı siber değerlendirmeler

Morrison Foerster hukuk firmasının ortağı Melissa Crespo, sağlık hizmetlerinin mahremiyeti ve güvenliği söz konusu olduğunda HIPAA’nın uzun süredir başvurulan yasa olduğunu söyledi.

Ancak yasa 1996’da çıktı. Sağlık teknolojisinde farklı bir dönem. Crespo yıllar sonra uygulamaya başladığında bile çoğu veri ihlali, düşman ülkeler tarafından desteklenen fidye yazılımı saldırılarıyla değil, kaybolan dizüstü bilgisayarlar veya kağıt kayıtlarla ilgiliydi.

Crespo, HIPAA’nın ayrıca kapsam dahilindeki kuruluşların güvenlik riski değerlendirmeleri yürütmesini gerektirdiğini, ancak bunun daha genel bir çerçeve olduğunu ve kuruluşların incelemeleri dahili olarak gerçekleştirebileceğini söyledi.



Source link