ABD Sağlık ve İnsani Hizmetler Bakanlığı, elektronik korumalı sağlık bilgilerinin (PHI) korunmasına yönelik temel siber güvenlik gerekliliklerini güçlendirmek amacıyla Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası güvenlik kuralında büyük bir revizyon yapmayı planlıyor. önerilen değişikliklerdergisinde yayımlanacak olan Federal Kayıt 6 Ocak’ta yürürlüğe girecek olan yasa, sağlık kuruluşlarının ve kapsam dahilindeki diğer kuruluşların, çok faktörlü kimlik doğrulama ve gelişmiş şifreleme gereklilikleri gibi güvenlik kontrollerini uygulamasını zorunlu kılacak.
Teklif, HIPAA’da bugüne kadar yapılan en önemli değişiklikleri açıklamaktadır. Güvenlik kuralı en son 2013 yılında revize edildi. tehdit ortamı HHS Sivil Haklar Ofisi, şu anda durumun on yıldan fazla bir süre öncesine göre farklı olduğunu ve sağlık kuruluşlarına yönelik ihlallerin 2018 ile 2023 arasında %102 arttığını söyledi. ifade. 2023 yılında, 2018’e göre %1.002 artışla 167 milyonun üzerinde insanın sağlık bilgileri ele geçirildi.
HIPAA’da Önerilen Değişiklikler
Değişiklikler sağlık planları, sağlık hizmeti takas odaları, sağlık sağlayıcıları, sağlık tesisleri, sigorta şirketleri ve iş ortakları için geçerli olacak.
Yazılı Her Şey: Tüm politikaların, prosedürlerin, planların ve analizlerin yazılı olması gerekecektir. Bu aynı zamanda yazılı müdahale gibi daha güçlü olay müdahale prosedürlerinin geliştirilmesi için de geçerlidir. olay müdahale planları ve test planları ile bilgi sistemlerini ve verileri 72 saat içinde geri yükleyebilmek için yazılı prosedürler.
Varlık Envanteri: Sağlık kuruluşlarının, korunan sağlık bilgilerinin (PHI) çeşitli sistemler arasındaki hareketini izlemek için güncel bir teknoloji varlığı envanteri ve ağ haritası geliştirmesi ve düzenli olarak sürdürmesi gerekecektir.
Risk Analizi: Sağlık kuruluşları güvenlik riski analizinde o kadar da iyi değil. Önerilen değişiklikler, teknoloji varlık envanterinin ve ağ haritasının gözden geçirilmesini içeren yazılı değerlendirmeler, PHI’ye yönelik tüm potansiyel tehditlerin belirlenmesi ve her tehdit ve güvenlik açığı için risk düzeyinin değerlendirilmesi gibi güvenlik riski analizinin nasıl yürütüleceğine ilişkin daha fazla ayrıntıyı içermektedir.
Güvenlik Kontrollerini Uygulayın: Sağlık kuruluşlarının, sağlık sistemlerinin tehlikeye atılmasını veya veri ihlallerini zorlaştırmak için çok faktörlü kimlik doğrulama ve ağ bölümlendirme kullanması gerekecek. Tüm PHI’ların hem bekleme sırasında hem de aktarım sırasında şifrelenmesi gerekecektir; bu, şifrelemenin artık isteğe bağlı olmadığı konusundaki fikir birliğini yansıtmaktadır. PHI işleyen sistemler için güvenlik ekiplerinin her altı ayda bir güvenlik açıklarını taraması, yılda en az bir kez sızma testleri gerçekleştirmesi, kötü amaçlı yazılımdan koruma savunmaları kurması ve sistemlerden yabancı yazılımları kaldırması gerekecektir. Bu gereksinimler, bunların önerilen faaliyetlerden her kuruluşun karşılaması gereken minimum güvenlik temel çizgisine nasıl ilerlediğini göstermektedir.
Kuruluşların, bu teknik kontrollerin uygulandığından emin olmak için en az 12 ayda bir uygunluk denetimi yapması ve önlemlerin en az 12 ayda bir uygulandığını yazılı bir sertifikayla kanıtlaması gerekecektir.
Siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger, bir toplantı sırasında şunları söyledi: 27 Aralık basın toplantısı Güvenlik kuralındaki değişikliklerin ilk yılda yaklaşık 9 milyar dolara, ikinci ila beşinci yıllar arasında ise 6 milyar dolara mal olacağı belirtildi. Neuberger, “Harekete geçmemenin maliyeti sadece yüksek değil, aynı zamanda kritik altyapıyı ve hasta güvenliğini de tehlikeye atıyor ve başka zararlı sonuçlar da taşıyor” dedi.
Paydaşların yorumlarını sunmak için yaklaşık 400 sayfalık teklifin yayınlanmasından sonra 60 günü var (Mart 2025 başı). Henüz belirli bir tarih belirlenmemiş olsa da HHS, kuralın nihai versiyonunu daha sonra yayınlayacak ve ardından 180 günlük bir uyum tarihi gelecek. Güvenlik kuralında değişiklik yapılmasına yönelik çalışmaların yeni başkanlık yönetimi altında devam edip etmeyeceği de belli değil. Öyle olsa bile, sağlık kuruluşları önerilen gereksinimleri gözden geçirmeli ve potansiyel değişikliklere hazırlanmak için mevcut güvenlik programlarını değerlendirmelidir.
