CMS, NIH ERM-Programme versagten bei der Berücksichtigung nationaler Sicherheitsrisiken, sagt OIG

  • Das National Institute of Health (NIH) Clinical Center in Bethesda, Md. Ein OIG-Audit fand Sicherheitslücken in den Enterprise Risk Management (ERM)-Programmen der NIH und CMS. (Credit: Duane Lempke, CC0, via Wikimedia Commons)

    Die Richtlinien und Verfahren des Unternehmensrisikomanagements der Centers for Medicare and Medicaid Services berücksichtigen nicht die nationalen Sicherheitsrisiken. Infolgedessen sind die CMS-Programme nicht in der Lage, sicherzustellen, dass ihre Sicherheitskontrollen bei der Verteidigung gegen ausländische und inländische Angreifer wirksam sind, so eine neue Prüfung des Office of the Inspector General.

    Stattdessen stützen sich die CMS-Richtlinien und -Verfahren auf die Enterprise Risk Management (ERM)-Prozesse des Department of Health and Human Services und nicht auf die eigenen Anforderungen.

    Es ist der zweite negative OIG-Bericht in diesem Monat, wobei eine frühere Prüfung ergab, dass CMS keine Protokolle zur Bewertung der Cybersicherheit von vernetzten medizinischen Geräten in Krankenhausumgebungen hat.

    Der Kongress hat das OIG gebeten, die ERM-Prozesse des CMS zu prüfen, um festzustellen, ob sie Schritte zur Identifizierung und Bewertung von nationalen Sicherheitsrisiken enthalten, nachdem ein früheres OIG-Audit festgestellt hat, dass die Risiken für die National Institutes of Health berücksichtigt wurden. Die gleiche Prüfung ergab, dass die NIH es auch versäumt hatten, die Risiken zu berücksichtigen, die von ausländischen Forschungsleitern ausgingen, denen Zugang zu US-Genomdaten gewährt wurde.

    Frühere Prüfungen haben ergeben, dass die Sicherheitsrichtlinien und -verfahren rund um die elektronischen Gesundheitsakten der NIH möglicherweise die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten gefährdet haben. Eine andere OIG-Prüfung fand Risiken bei der Art und Weise, wie die NIH sensible Daten weitergeben.

    Eine 2019 durchgeführte Prüfung von HHS, CMS, NIH und der Food and Drug Administration stufte die Informationssicherheitsprogramme der Behörden als “nicht effektiv” ein.

    Die jüngste Prüfung überprüfte die ERM- und Risikobewertungsrichtlinien und -verfahren der Behörde sowie die unterstützende Risikomanagementdokumentation. Das OIG befragte auch CMS- und HHS-Mitarbeiter.

    Während das Office of Management and Budget von den Bundesbehörden verlangt, jährlich vollständige Risikoprofile zu erstellen, die die Identifizierung und Analyse aller internen und externen Risiken beinhalten, stellte das OIG fest, dass das CMS kein Risikoprofil der Behörde als Bestandteil seines ERM-Programms erstellt hat.

    Da sich das CMS auf die ERM-Daten des HHS verließ, verfügte sein Risikoprofil nicht über eine detaillierte Analyse der Risiken, die speziell für das CMS und seine Programme bestehen.

    “Obwohl einige CMS-Programme Zugang zu PII und anderen sensiblen Daten haben, auf die Angreifer zugreifen könnten, waren die CMS-Richtlinien und -Verfahren nicht darauf ausgerichtet, dass die Programme nationale Sicherheitsrisiken berücksichtigen, obwohl das ONS alle HHS-Behörden, einschließlich CMS, darauf hingewiesen hatte, dass die nationale Sicherheit ein neues oder aufkommendes Risiko darstellt”, so die Prüfung.

    “Da die nationalen Sicherheitsrisiken nicht bewertet und keine abschwächenden Kontrollen implementiert wurden, sind die CMS-Programme und die mit ihnen verbundenen Daten anfällig für ausländische und inländische gegnerische Bedrohungen”, heißt es weiter.

    Zum Beispiel könnte das Clinical Laboratory Improvement Amendments (CLIA)-Programm der Behörde von Bewertungsdaten profitieren, die nationale Sicherheitsrisiken detailliert aufzeigen, da es etwa 260.000 nicht forschungsbezogene Testlabore in den USA und auf der ganzen Welt beaufsichtigt und reguliert.

    Das OIG empfahl dem CMS, einen Prozess innerhalb seines ERM-Prozesses zu implementieren, um die nationalen Sicherheitsrisiken aller seiner Programme in Übereinstimmung mit den OMB-Regeln zu behandeln, einschließlich neuer oder aufkommender Risiken für die Behörde und ihre Programme.

    Das CMS stimmte der Empfehlung zu und ist derzeit dabei, sein eigenes Enterprise-Risk-Management-Programm zu erstellen, das auf seiner früheren und aktuellen Teilnahme am ERM-Prozess des HHS basiert. Das Programm wird Schritte zur Bewertung nationaler Sicherheitsrisiken im gesamten CMS und in den relevanten Programmen beinhalten.

    “Durch die enge Kopplung mit den strategischen Prioritäten der Agentur wird diese Fähigkeit die vielen Risikomanagement-Aktivitäten auf Komponentenebene, die bereits im Gange sind, auf eine Unternehmensperspektive erweitern”, erklärte CMS-Administratorin Chiquita Brooks-LaSure.

    “Sobald diese Programme ausgereift sind, werden sie Bedrohungen identifizieren und überwachen, Schwachstellen in CMS-Verträgen bewerten und die potenziellen Auswirkungen des Verlusts sensibler oder eingeschränkter Informationen oder der Beschädigung kritischer Infrastrukturen sowohl durch Insider als auch durch ausländische Angreifer abmildern”, fügte sie hinzu.

    Da die CMS-Interoperabilitätsregeln am 1. Juli in Kraft getreten sind, werden die Verbesserungen des Sicherheitsprogramms die Behörde sicherlich dabei unterstützen, den Datenaustausch zwischen Gesundheitsdienstleistern zu erhöhen.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com