LeadingAge 2025: Ortaya Çıkan Tehditler Ortasında Savunmasız Bir Sektörün Güvenliğini Sağlamak
Büyük manşetlere çıkan siber saldırıların ve veri ihlallerinin çoğu, geleneksel sağlık hizmeti sağlayıcılarını etkileme eğiliminde olsa da, yaşlı bakımı kuruluşları da hedef alınıyor.
2024 yılında, New York merkezli bir yaşlı bakım kuruluşu, yetkisiz sistem erişiminin 104.000'den fazla kişinin verilerini potansiyel olarak tehlikeye attığını bildirdi. Ayrıca, Wall Street Journal'ın bir raporuna göre , Güney Kaliforniya merkezli bir yaşlı bakım kuruluşunun 2023'teki veri ihlali hakkında 26.000'den fazla kişiyi bilgilendirmesi aylar sürdü.
İşte bu nedenle veri güvenliği ve uyumluluk, Boston'daki 2025 LeadingAge Yıllık Toplantısı'ndaki konuşmacıların, özellikle de yıllık konferansta bu konuları düzenli olarak tartışan Ohio merkezli yaşlı bakım organizasyonu Eliza Jennings'in liderlerinin en çok önemsediği konulardı.
Son CDW Siber Güvenlik Araştırma Raporunu okumak için aşağıdaki pankarta tıklayın .
Başkan Yardımcısı ve Baş Hukuk Sorumlusu Jennifer Griveas, güncellenmiş bir HIPAA güvenlik kuralı risk analizinin önemini vurguladı. Kuruluşlar, hassas verileri korumak için bu temel unsuru sıklıkla göz ardı ediyor.
Griveas, "Birinci adım: Eğer bir HIPAA güvenlik kuralı risk analizi yapmadıysanız, bir HIPAA güvenlik kuralı risk analizi yapmalısınız" dedi.
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi'nin ihlal yaşayan sağlık hizmeti sağlayıcılarına verdiği cezaların çoğunun, bu özel risk analizinin eksikliğinden kaynaklandığını söyledi.
Daha küçük organizasyonlar, serbestçe erişilebilen kaynakları kullanarak bunu kendileri tamamlayabilirler, ancak özel BT güvenlik personeli olmayanlar veya diğer öncelikleri yönetmekle zaten zorlanan departmanlar için bir ortaklık faydalı olabilir.
Ayrıca, düzenli olarak bakımı yapılması gereken bir konu, çünkü bu güvenlik ortamında bir siber olay "eğer" değil, "ne zaman" senaryosudur. Yapay zeka destekli araç ve süreçlerin gelişimini de hesaba katarsak, yaşlı bakım kuruluşlarının kişisel sağlık bilgilerini koruma konusunda daha fazla düşünmesi gerekir.
Griveas, "Böyle bir durumla karşı karşıyaysanız ve ardından bir ihlalle karşılaşırsanız ve OCR güvenlik kuralı risk değerlendirmenize bakmak isterse ve siz de 'İşte 2019'dan bu yana' derseniz, özellikle pandemi öncesi ve şimdi, yapay zekanın kullanıma girmesinden sonraki dönemde riskinizi değerlendirmede güncel olmanızın hiçbir yolu yoktur. Yaptığımız her şey değişiyor," dedi.
Bu risk analizi, üst düzey kuruluşların göz ardı etmemesi gereken bir şeydir ve yeni teknolojiler bir ortama eklendikçe faydalı bir temel oluşturur. Ekip üyelerinin BT ortamlarının neleri içerdiğini ve bunlara kimlerin erişebildiğini anlamalarına yardımcı olabilir.
"İnsanlar bazen HIPAA güvenlik kurallarının çok teknik olduğunu düşünüyorlar ama öyle değil. Bunlar yapısal kurallar," diye ekledi.
HealthTech'in haftalık bültenine kaydolmak için aşağıdaki bannera tıklayın .
BT Başkan Yardımcısı ve Baş Uyumluluk Sorumlusu Michael Gray de farklı siber saldırılar hakkındaki bilgileri güncellemenin önemini vurguladı. Beş-altı yıl önce, katılımcılara fidye yazılımı saldırısının ne olduğunu bilip bilmedikleri sorulduğunda yalnızca birkaç kişinin elini kaldırdığını belirtti. Bugün ise bu saldırılar sektör genelinde oldukça tanıdık.
"Bu risklerin farkında değilsek ve personelimiz bu risklerin ne olduğunu bilmiyorsa, bunlara karşı kendimizi savunamayız" dedi.
Kötü niyetli kişiler artık hedef kuruluşun ortamında mümkün olduğunca uzun süre kalmaya çalışacak ve hatta birden fazla saldırı deneyebilecek . Ayrıca, bir kuruluşun ağına girdikten sonra bu yolu başkalarına satan ilk erişim aracıları da mevcut. Sosyal mühendislik girişimleri daha karmaşık hale geldikçe, çok faktörlü kimlik doğrulama da kimlik avına karşı daha dayanıklı hale geliyor .
Gray, bir yaşlı bakım kuruluşunun siber bir olayla yüzleşmeye hazır olduğunu düşünse bile, uzun kurtarma sürelerinin kaçınılmaz olduğunu ve bu nedenle farklı departmanlardaki ekiplerin sistemler çevrimdışıyken operasyonları nasıl sürdüreceklerini bilmeleri gerektiğini söyledi. Katıldığı bir masa başı tatbikatında , endişelerden birinin genç çalışanların kağıt üzerinde grafik çizmeyi bilip bilmediği olduğunu, bu nedenle kağıt grafik çizme konusunda kimin hızlı eğitim verebileceğinin değerlendirilmesi gerektiğini söyledi.
Gray, "Son derece hazırlıklı olsanız bile, sistemlerinizi tekrar çalışır duruma getirmek uzun zaman alır. Siber sigorta şirketiniz ve kullandıkları adli tıp şirketi, sistemlerinizi tekrar çalışır duruma getirmeden önce ortamınızın %100 temiz olduğundan emin olmak zorundadır," dedi.
Önemli olan sadece en iyi güvenlik araçlarına sahip olmak değil; bir organizasyonu oluşturan kişilerin güvenlik stratejisi konusunda bilgili olmaları ve düzenli olarak eğitim almaları gerekir.
Griveas, "Biz gerçekten de masada doğru bilgiye sahip, ya liderlik rolünde olan ya da yönetim kurulunuzla etkileşimde bulunan, C-suite'e veya C-suite'te danışmanlık yapan kişilerin bulunmasının büyük savunucusuyuz; böylece 'İhtiyaç duyduğumuz korumayı elde etmek için gerekenleri yapıyor muyuz?' sorusunu tam olarak değerlendirebiliriz" dedi.
2025 LeadingAge Yıllık Toplantısı ve Fuarı haberlerimiz için bu sayfayı favorilerinize ekleyin . Bizi X'te @HealthTechMag adresinden takip edin ve #LeadingAge25 etiketiyle sohbete katılın .
healthtechmagazine
