ABD, Sağlık Verilerindeki Sızıntılara Karşı Siber Güvenlik Kurallarını Yeniliyor
Artan sağlık verisi ihlalleri sonrası ABD, sağlık sektöründe siber güvenlik kurallarını sıkılaştırıyor. Yeni düzenlemeler, sağlık verilerinin korunmasını hedefliyor.
ABD Sağlık ve İnsan Hizmetleri Departmanı (HHS), sağlık verilerinin korunması amacıyla Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamında güncellemeler yapmayı planlıyor. HHS’nin Sivil Haklar Ofisi (OCR) tarafından önerilen bu yeni kurallar, özellikle büyük veri ihlalleri ve fidye yazılım saldırılarındaki artış nedeniyle gündeme geldi.
Yeni düzenlemelere göre, sağlık kuruluşları şu önlemleri almak zorunda olacak:
- Sağlık bilgilerini şifreleme,
- Çok faktörlü kimlik doğrulama kullanma,
- Ağlarını segmentlere ayırarak siber saldırganların hareket alanını kısıtlama.
HHS’nin yaptığı açıklamada, “Son yıllarda 500 veya daha fazla kişiyi etkileyen veri ihlallerinde ciddi bir artış yaşandı. Ayrıca, bu ihlallerden etkilenen kişi sayısının artışı ve siber saldırıların yaygınlaşması bizi endişelendiriyor,” ifadelerine yer verildi.
Beyaz Saray’ın siber güvenlik ve yeni teknolojilerden sorumlu danışman yardımcısı Anne Neuberger, bu güncellemelerin fidye yazılım saldırıları ve sağlık sektöründeki büyük veri sızıntılarının ardından gündeme geldiğini belirtti. Neuberger, yeni kuralların ilk yıl için yaklaşık 9 milyar dolar, sonraki dört yıl için ise 6 milyar dolardan fazla bir maliyeti olacağını söyledi. Neuberger şu açıklamada bulundu;
“HIPAA kapsamındaki güvenlik kuralları ilk kez 2003’te yayınlandı ve en son 2013’te güncellendi. Bu, 20 yıllık bir kuralın on yıl aradan sonra ilk kez yenilenmesi anlamına geliyor. Sağlık verilerini şifreleme gibi önlemlerle bu bilgiler saldırıya uğrasa bile sızdırılamayacak ve bireylerin güvenliği korunacak.”
Son dönemde en büyük ihlallerden biri, ABD’nin özel sağlık sistemlerinden Ascension’da yaşandı. Mayıs ayında gerçekleşen Black Basta fidye yazılım saldırısı, 5,6 milyon kişinin sağlık ve kişisel verilerinin çalınmasına yol açtı. Siber saldırı sonrası hastane çalışanları, elektronik sistemlerin devre dışı kalması nedeniyle hasta bilgilerini kâğıt üzerinde tutmak zorunda kaldı.
