ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), büyük sağlık veri sızıntılarındaki artışın ardından hastaların sağlık verilerini güvence altına almak için 1996 Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA) için güncellemeler önermiştir.
HHS Sivil Haklar Ofisi (OCR) tarafından önerilen ve 60 gün içinde nihai kural olarak yayınlanması beklenen bu daha katı siber güvenlik kuralları, sağlık kuruluşlarının korunan sağlık bilgilerini (PHI) şifrelemesini, multifaktör kimlik doğrulamasını uygulamasını ve segmentlerini segmentlere indirmesini gerektirecektir. Ağlar, saldırganların onlardan yanal olarak hareket etmesini zorlaştıracak.
HHS, "Son yıllarda, departmana bildirilen 500 veya daha fazla kişiyi etkileyen ihlal sayısında endişe verici bir büyüme oldu, bu tür ihlallerden etkilenen bireylerin toplam sayısı ve hack ve fidye yazılımı kullanan siber saldırıların yaygın artışı" Teklif diyor.
Diyerek şöyle devam etti: "Departman, düzenlenmiş kuruluşların yaşadığı artan sayıda ihlal ve diğer siber güvenlik olaylarından endişe duymaktadır. Ayrıca, bu tür olaylardan etkilenen bireylerin sayısında ve bu tür olaylardan potansiyel zararların büyüklüğünde artan eğilimden daha fazla endişe duyuyoruz."
Reuters, Beyaz Saray'ın siber ve gelişmekte olan teknolojiler için ulusal güvenlik danışman yardımcısı Anne Neuberger'in gazetecilere, HIPAA siber güvenlik kural güncellemelerinin son yıllarda hastaneleri ve Amerikalıları etkileyen fidye yazılım saldırıları ve büyük ihlaller tarafından istendiğini söyledi.
Neuberger, bu kuralların uygulanmasının ilk yılda yaklaşık 9 milyar dolara ve sonraki dört yıl içinde 6 milyar doların üzerinde olacağını da sözlerine ekledi.
"Güvenlik kuralı [HIPAA altında] ilk olarak 2003 yılında yayınlandı ve en son 2013'te revize edildi, bu yüzden bu 20 yıllık kuralın on yıldan fazla bir süredir ilk güncellemesidir ve sağlık verilerini sürdüren kuruluşların bir şeyler yapmasını gerektirecektir. Bu verileri şifreleyin, eğer saldırıya uğrarsa, web'de sızdırılamaz ve bireyleri tehlikeye atamaz, "dedi Neuberger.
Diyerek şöyle devam etti: "Oyunculuk yapmama maliyeti sadece yüksek değil, aynı zamanda kritik altyapı ve hasta güvenliğini tehlikeye atıyor ve diğer zararlı sonuçları taşıyor."
Son zamanlarda, en büyük özel ABD sağlık sistemlerinden biri olan Yükseliş, yaklaşık 5.6 milyon kişiye kişisel ve sağlık verilerinin Mayıs Black Basta fidye yazılımı saldırısında çalındığını bildirdi.
Siber saldırıdan sonra, yükseliş çalışanları kağıt üzerinde ilaç ve prosedürleri takip etmek zorunda kaldı, çünkü hastaların elektronik kayıtlarına artık erişilemedi. Sağlık devi de bazı cihazları çevrimdışı almak ve acil tıbbi hizmetleri triyaj gecikmelerini önlemek için diğer sağlık birimlerine yönlendirmek zorunda kaldı.
AT&T ve Verizon, tuz tayfun ihlalinden sonra ağların güvenli olduğunu söylüyor
Beyaz Saray, dokuzuncu telekom ihlalini Çinli bilgisayar korsanlarına bağlar
ABD Şüpheli Lockbit Fidye Yazılım Kodlayıcı olarak Rusça-İsrail'i suçluyor
Yükseliş: Fidye Yazılımı Saldırısında Çalınan 5.6 milyon Sağlık Verileri
Biz TP-Link yönlendiricilerini siber güvenlik riskleri üzerinde yasaklamayı düşünüyor
Kaynak: Bleeping Computer