BOSTON – Sağlık ve Halk Sağlığı Sektörü Koordinasyon Konseyi siber güvenlik çalışma grubunun yönetici direktörü Greg Garcia, izleyicilere alaycı bir soru sordu: “Sorununuz nedir?”
Pazartesi günü HIMSS Healthcare Security Forum’daki tartışması sırasında Garcia, bilgi güvenliğinin aslında “bizim sorunumuz” olduğuna işaret etti.
Sağlık sektörünün siber güvenlik risklerini yönetme konusunda nasıl işbirliği yaptığını ve işbirliği konusunda yetersiz kaldığını araştırdı.
315 milyon hasta kaydını etkileyen 4.500’den fazla veri ihlali olduğuna dikkat çekti ve sağlık sektörü şimdiye kadar sorunlarının ne olduğunu biliyor olmalı:
- HHS Sivil Haklar Ofisi’ne göre, siber saldırılardan kaynaklanan veri ihlalleri son 5 yılda %350 arttı
- Fidye yazılımı, klinik operasyonlarda kesintiye ve hastaların zarar görmesine neden oldu
- Eskiyen tıbbi cihazlar artık desteklenmiyor veya desteklenmiyor
- Üçüncü taraf hizmet sağlayıcıları ve satıcılar, sağlık hizmetleri saldırısının vektörleridir.
- Klinik iş gücü, siber güvenlik çözümünü kabul etmeli ve onun bir parçası olmalıdır.
Taktik ve operasyonel konulara odaklanacak olan iki günlük siber güvenlik konferansında pek çok çözüm tartışılacak olsa da, daha büyük bir stratejik çözüm olan işbirliği hakkında konuşmak istediğini söyledi.
Garcia, “Sorunun çözümünün bir kısmı, kolektif bir sorumluluğumuz olduğunu anlamaktır” dedi.
Sağlık bir kamu hizmetidir
Hükümet, yürütme emriyle, kamunun bel bağladığı kritik varlıkları ve hizmetleri sunma yeteneğini etkileyen sistemik tehditlerin neler olduğunu toplu olarak belirlemek ve azaltmak için kritik altyapının birincil sahibi ve operatörü olarak sağlık sektörüne güvenmektedir.
Garcia’nın sunumuna göre, 2017’de ABD Sağlık ve İnsan Hizmetleri, güvenlik kaynaklarının ve güvenlik açıklarının eksikliğini gidermek için altı ana zorunluluk, 24 öneri ve 105 eylem öğesi üreten 1 yıllık bir sağlık sektörü siber güvenlik görev gücü topladı.
Bu çabadan ortaya çıkan şey, siber saldırılar gibi sorunları ele almak için hükümet tarafından kritik sektörlere hizmet vermek üzere belirlenen 16 özel danışma grubundan biri olan Sağlık Sektörü Koordinasyon Konseyi’dir (HSCC).
HSCC, HHS Stratejik Hazırlık ve Müdahale İdaresi, HHS Baş Bilgi Sorumlusu Ofisi ve Gıda ve İlaç İdaresi ile yakın işbirliği içinde çalışır.
Sağlık hizmetleri ekosisteminde “her düğüm saldırılara karşı savunmasızdır” dedi.
“Kritik altyapı bir kamu hizmetidir. Dolayısıyla, kar amacı gütseniz de gütmeseniz de hepiniz kamu görevlisisiniz, göreviniz bu.”
732 üyeli güçlü konsey, bir dizi kaynaklar Garcia’nın söylediğine göre endüstri için ücretsiz ve zorunluydu.
“Bunların uygulanması gerekiyor. Raf yazılımı değiller.”
Garcia, kolektif sorumluluğun bir kısmının tavsiyelere ve eylemlere odaklanmak ve çabaya katılmak için HSCC araç setlerini ve kaynaklarını kullanmak olduğunu söyledi.
Garcia, “Hiçbirimiz bireysel olarak hepimiz kadar akıllı değiliz” dedi.
Ufukta görüş tutmak
Garcia, HHS ile ortak bir proje olan Sağlık Sektörü NIST Siber Güvenlik Çerçevesi Uygulama Kılavuzu ile birlikte Sağlık Hizmetlerinde Yapay Zeka Uygulamaları ve Siber Riskler hakkında bir Beyaz Kitap yakında yayınlanacağını paylaştı.
“Artık sağlık sektörünün NIST siber çerçevesini özel olarak nasıl uygulaması gerektiğini söyleyen bir rehber kitabımız var” dedi.
HSCC ayrıca, Garcia’nın mutabakat oluşturmada bir başarı olduğunu açıkladığı Eski Tıbbi Cihaz Siber Güvenlik Yönetim Kılavuzunu da gelecek ay yayınlayacak.
2019’da yayınlanan Tıbbi Cihaz ve Sağlık BT Ortak Güvenlik Planı, Haziran 2017’de yayınlanan Sağlık Sektörü Siber Güvenlik Görev Gücü’nün tavsiyesini takip etti ve şu çağrıda bulundu: tıbbi cihazlarda siber güvenliği güçlendirmek için sektörler arası bir strateji.
“Bu, geçen bir buçuk yıl boyunca haftada iki kez, her toplantıda bir saat olmak üzere 100 sayfanın oldukça üzerinde bir rakamdır – cihaz üreticileri ve üreticiler arasındaki tartışmalar ve müzakereler [healthcare organizations] eski tıbbi cihazlar için siber güvenliğin ortak sorumluluğu hakkında.”
Garcia, İç Güvenlik Departmanı ve CISA ve diğer politika ve endüstri düzenleme rollerinde geçirdiği yıllar boyunca, kaç sektörün bu misyon için uygun şekilde organize olduğunu veya uygun şekilde organize olmadığını gördüğünü söyledi.
“Son beş yılda sağlık sektöründe ivme ve enerjide bir artış gördüm. Çözüme giden ilk adım şudur: bir sorununuz olduğunu kabul edin. Bu soruna sahip olduğumuzun farkındayız. Şimdi tüm ellerde tezahür etmeye başlıyor. Güvertede. Onu görüyorum ve ondan enerji alıyorum.”
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.