Sağlık Hizmetleri, Sektöre Özel, Standartlar, Yönetmelikler ve Uyumluluk
Amerikan Hastaneler Birliği’nden John Riggi, HHS’nin Yaklaşan Siber Düzenlemeleri hakkında
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
25 Haziran 2024
Ulusal Siber ve Risk Danışmanı John Riggi, Beyaz Saray’ın sağlık sektörü siber güvenliğini artırma çabalarının kritik öneme sahip olduğunu ancak yalnızca hastanelere yönelik yaklaşan siber gerekliliklere uyulmaması nedeniyle uygulanan olası mali cezaların yarardan çok zarar getirebileceğini söyledi. Amerikan Hastaneler Birliği.
Ayrıca bakınız: Bütünsel Güvenlik ve Risk Bakış Açısıyla Siloları Parçalamak
Bu yılın başlarında Biden yönetimi, sağlık sektörü için çok faktörlü kimlik doğrulama gibi 10 “temel” uygulama ve siber güvenlik testleri de dahil olmak üzere 10 “gelişmiş” uygulamadan oluşan “siber güvenlik performans hedefleri” yayınladı. O zamanlar CPG’ler “gönüllü” olarak adlandırılıyordu, ancak Riggi, bunların ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın yakında yayınlanması beklenen düzenlemeleri uyarınca hastaneler için zorunlu gereksinimler haline gelmesinin beklendiğini söyledi (bkz.: Federaller Siberi Desteklemek İçin Sağlık Sektörüne Sopa ve Havuç Sallıyor).
“Biden yönetimi, hastanelere bu 10 temel ve 10 gelişmiş siber güvenlik performans hedefinden oluşan minimum zorunlu siber güvenlik düzenlemelerini uygulamaya hazırlanıyor” dedi (bkz: Yaklaşan HHS Siber Kayıtları Sağlık Sektöründe İğneyi Harekete Geçirecek mi?).
AHA “bu uygulamaları kesinlikle kabul etse de”, HHS’nin bunların yalnızca hastanelere uygulanması yönündeki planlarının (uygunsuzluk durumunda olası mali cezalarla birlikte) endişe verici olduğunu söyledi.
Bunun nedeni, sağlık sektöründeki en büyük ve en yıkıcı siber olayların çoğunun, sağlık sigortacıları ve Change Healthcare gibi üçüncü taraf sağlayıcılar gibi hastane dışı kuruluşlar tarafından yaşanmış olmasıdır. Ayrıca ABD’deki 6.000 hastanenin çoğu, daha güçlü siber güvenlik programları uygulamak için gerekli araçlara halihazırda sahip değil.
Riggi, “Bu bizim için çok önemli bir endişe, çünkü sonuç olarak, yalnızca en çok ihtiyaç duyan hastaneler için kaynak eksikliğinden değil, aynı zamanda cezaların da çok ağır olmasından endişe duyuyoruz.” dedi.
“Bu cezalar, hastanelerin bu saldırılara karşı savunma yapmak ve siber güvenlik programlarını desteklemek için kullanabileceği gerekli kaynakların ellerinden alınmasına yol açacak” dedi.
Bilgi Güvenliği Medya Grubu ile yapılan bu video röportajında Riggi şunları da tartıştı:
- AHA’nın kırsal kesimdeki ve kar amacı gütmeyen hastanelere yardım etmek amacıyla Google ve Microsoft’tan siber güvenlik kaynaklarını güvence altına almak amacıyla Beyaz Saray ile yakın zamanda yaptığı işbirliği;
- Sağlık sektörünün karşı karşıya olduğu diğer siber güvenlik düzenleme sorunları;
- Çin, Rusya, Kuzey Kore ve diğer ülkelerden gelen küresel siber tehditler gelişiyor.
Riggi, 5.000’den fazla ABD üyesi hastanenin bulunduğu Amerikan Hastaneler Birliği’nin siber güvenliğine ve riskine liderlik ediyor. Daha önce FBI’da 30 yıl boyunca Beyaz Saray Siber Müdahale Grubu temsilcisi de dahil olmak üzere çeşitli liderlik rollerinde görev yapmıştı. Aynı zamanda CIA’nın üst düzey temsilcisi olarak görev yaptı ve terörün finansmanı soruşturmalarında ulusal operasyonlar yöneticisi olarak çalıştı. Riggi ayrıca 18 Temmuz’da New York’ta düzenlenen ISMG Sağlık Güvenliği Zirvesi’nin açılış konuşmacısı olarak yer alıyor.