2025 yılında sağlık hizmetleri siber güvenliğinde kapsamlı bir yenileme yapılacak ve uzmanlar, kuruluşların uyumluluk yükünün ağır olacağı konusunda uyarıyor.
Sağlık kuruluşları, 2005 yılından bu yana, elektronik korumalı sağlığı korumak için tasarlanmış bir dizi ulusal standart olan 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamında Elektronik Korumalı Sağlık Bilgilerinin Korunmasına İlişkin Güvenlik Standartlarına (“Güvenlik Kuralı”) tabidir. bilgi (ePHI). Ancak ePHI’ye yönelik tehditler yıldan yıla artarken, en son Ocak 2013’te güncellenen Güvenlik Kuralı aynı kaldı.
Geçtiğimiz hafta ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), Sivil Haklar Dairesi (OCR) aracılığıyla bir öneride bulundu: Güvenlik Kuralına yönelik uzun zamandır beklenen güncelleme. 400 sayfalık çalışma taslağı, sağlayıcılar, planlar, takas odaları ve bunların iş ortakları için kapsamlı yeni gereklilikleri de içerdiğinden, uzunluğu kadar ciddidir. Gereksinimlerin tümü standart en iyi uygulamalar olsa da uzmanlar, bu yeni güncellemenin daha önceki HIPAA sürümlerinden daha önemli ve daha az esnek olduğuna dikkat çekiyor.
Çok Faktörlü Kimlik Doğrulama, Şifreleme ve Risk
HIPAA, başından beri sağlık sektörü için siber güvenliği dikte eden en iyi ancak yetersiz düzenleme olmuştur.
“[There’s] HIPAA’nın 1990’ların ortalarında düzenlenme şekli nedeniyle odak noktasının yanlış yerde olduğu bir geçmişi var” diyor Sağlık Hizmetleri Bilgi Paylaşımı ve Analiz Merkezi’nin (Sağlık-ISAC) bilgi güvenliği şefi (CISO) Errol Weiss. “O zamanlar tıbbi ve sağlık kayıtlarının elektronik ortama aktarılması konusunda büyük bir baskı vardı. Ve HIPAA düzenlemelerinin ortaya çıkmasıyla birlikte, bu kayıtların güvenliğinin sağlanmasından ziyade hasta mahremiyetinin korunmasına odaklanıldı.”
HIPAA’nın gizliliğe odaklanması, 2010’larda başta fidye yazılımı olmak üzere daha çeşitli siber güvenlik tehditlerine karşı koyma yeteneğini sınırladı. Bu arada kuruluşlar, HIPAA’yı sağlam bir güvenlik duruşu geliştirmek için bir temel olarak kullanmak yerine, HIPAA’yı daha çok kontrol edilmesi gereken bir dizi kutu olarak ele alma eğilimindeydi. “Bunun sonu geldi Bütçeleri mutlaka güvenliğe değil, uyumluluğa yönlendirmek. Weiss, son beş ya da altı yılda, uygun şekilde güvenliği sağlanmayan, düzgün şekilde bağlanmayan, düzgün şekilde yedeklenmeyen bir ortamda fidye yazılımının saldırısına uğradığında neler olduğunu gördük,” diyor.
HHS, Güvenlik Kuralı taslağının yanında yayınlanan bir açıklamada da aynı noktayı vurguladı. 2018’den 2023’e kadar şunları bildirdi: Büyük ölçekli sağlık ihlalleri %102 arttıve etkilenen kişilerin sayısı özellikle fidye yazılımı sayesinde %1.002 arttı. 2023, 167 milyondan fazla kişinin etkilenmesiyle yeni bir rekor kırdı.
Yeni önerilen Güvenlik Kuralı, yama yönetimi, erişim kontrolleri, çok faktörlü kimlik doğrulama (MFA), şifrelemeyedekleme ve kurtarma, olay raporlama, risk değerlendirmeleri, uyumluluk denetimleri ve daha fazlası.
Dispersive’in başkan yardımcısı Lawrence Pingree’nin de kabul ettiği gibi, “İnsanların düzenlemelerle arasında bir aşk-nefret ilişkisi var. Ancak HIPAA’nın çok daha kuralcı hale gelmesinin getireceği pek çok fayda var. Güvenlik kontrolleri konusunda daha spesifik olduğunuzda, onların yapması gerekenler var. başvurursanız o kadar iyi olursunuz.”
HIPAA Dişleri Büyütüyor
Pingree, “HIPAA’nın uzun süredir bir tür geniş açılı merceğe sahip olduğunu” hatırlıyor. ‘Verilerinizi koruyacaksınız.’ Ve açıkçası, bu belirsiz kurallar, birçok farklı, değişken yorumla karşılaşacağınız anlamına geliyor.”
Aslında tarihsel olarak bu, HIPAA’nın büyük çöküşü oldu.
Tüm bir endüstriye evrensel olarak etkili siber güvenlik kurallarını dayatmak neredeyse imkansızdır. Küçük ve büyük kuruluşların farklı ihtiyaçları, farklı yetenekleri ve bütçeleri vardır. Tehdit ortamı sürekli değişiyor, bu nedenle bugün tasarlanan kuralların yarın geçerliliğini yitirdiği ortaya çıkabilir. Bu kaçınılmazlığı hesaba katmak için, orijinal HIPAA Güvenlik Kuralı, “adreslenebilir” ve “gerekli” kurallar arasında bir ayrım yapan 164.306 hükmünü içeriyordu. HIPAA’ya göre kuruluşlar, adreslenebilir kurallar için “elektronik korumalı sağlık bilgilerinin korunmasına olası katkı açısından analiz edildiğinde, her uygulama spesifikasyonunun kendi ortamında makul ve uygun bir koruma olup olmadığını değerlendirebilir”. Bir kuruluş, altyapısının özellikleri, büyüklüğü veya yetenekleri, herhangi bir güvenlik önleminin uygulanmasının maliyeti vb. nedeniyle bir kuralın kendi durumunda uygun veya makul olmadığına karar verebilir.
Jackson Lewis PC’nin müdürü Joseph J. Lazzarotti, 164.306 hükmünün işletmelerin her zaman istediği türden bir esnekliğe izin verdiğini söylüyor: “Ortabatı’daki Main Street’teki her solo uygulayıcıdan, büyük hastaneye karşı aynı şeyi beklemiyoruz. Doğu Yakası’nda ise uyum konusunda farklı beklentiler olacağı açık.”
Ancak bazı sağlık kuruluşları, daha fazla güvenlik savunmasına yatırım yapmak zorunda kalmamak için bu yasal esneklikten yararlandı. HHS son teklifinde, “Bazı düzenlemeye tabi kuruluşların sanki adreslenebilir bir uygulama spesifikasyonuna uyum isteğe bağlıymış gibi hareket etmesinden endişe duyuyoruz.” diye yazdı. “Bu yorum yanlıştır ve denetlenen kuruluşların siber güvenlik duruşunu zayıflatır.”
Yeni Güvenlik Kuralı gerekli adreslenebilir ayrımı ortadan kaldıracak ve düzenlemeye tabi tüm kuruluşları şartlar ne olursa olsun aynı kurallara uymaya zorlayacaktır.
HIPAA ile Veri Sağlığında Yeni Maliyetler
Bu daha yeni ve daha katı Güvenlik Kuralı, Doğu Yakası’ndaki büyük hastaneleri ve Ortabatı’daki tek başına çalışan uygulayıcıları birçok yeni siber güvenlik önlemi uygulamaya zorlayacak ve bu da ucuz olmayacak. Siber ve gelişen teknolojilerden sorumlu ulusal güvenlik danışman yardımcısı Anne Neuberger’in 27 Aralık’ta verdiği basın brifingine göre Beyaz Saray, uygulama maliyetlerinin yaklaşık olarak artacağını tahmin ediyor İlk yılda 9 milyar dolar kural değişikliğinin ardından ikinci ila beşinci yıllar arasında 6 milyar dolar daha.
Health-ISAC’tan Weiss, bunun birçok sağlık kuruluşu için gerçekçi olmadığından endişe ediyor. “Bu kuruluşlara baktığınızda, birçoğunun en iyi ihtimalle düşük kar marjlarıyla faaliyet gösterdiğini görüyorsunuz” diyor. “Birçoğu tehlikede ve bunun gibi şeyleri karşılayamıyorlar.”
Dispersive’den Pingree, yeni HIPAA güvenlik kurallarının uygulanmasının “Tüm NIST kontrollerini zaten takip ediyor olsalar bile” tahminine göre “küçük bir doktorun muayenehanesi için 100.000 dolar kadar düşük bir maliyet olabilir veya büyük bir tıbbi muayenehaneyseniz bu rakam milyonlarca olabilir” grup.”
Weiss’e göre, sağlık kuruluşlarının tüm bu yeni kuralları ve bunlarla ilgili maliyetleri idare edebilmesinin olası bir yolu, dış kaynaklı, sanal bir bilgi güvenliği şefi (vCISO) kullanmaktır. Çünkü “Bu sadece teknolojiyi satın almakla ilgili değil. Aynı zamanda yürütmeniz gereken siber güvenlik uzmanlığını işe almak ve elde tutmakla da ilgili” diyor.
“Bu kuruluşlar nereden başlayacaklarını bilmiyorlar” diye devam ediyor. “Siber güvenlik pazarı çok kafa karıştırıcı. Çok fazla oyuncu var. Çok fazla çözüm var. Peki siber güvenliğe harcayacak 100 dolarınız varsa bunu nereye harcıyorsunuz? Tüm bunları çözebilmek için yardıma ihtiyaçları var. Ve sanal bir CISO gibi bir şeyin bir stratejinin uygulanmasına yardımcı olabileceğini ve daha sonra sanal olarak etrafta bulunabileceğini, soruları olduğunda ve yardıma ihtiyaç duyduklarında bu kuruluş için bir kaynak olabileceğini düşünüyorum. yapamayan bu küçük kırsal hastaneler için model mutlaka tam zamanlı bir CISO’yu haklı çıkarın veya işe alın.”
