Sundhedsorganisationer af alle former og størrelser vil blive holdt til en strengere standard for cybersikkerhed fra og med 2025 med nye foreslåede regler, men ikke alle har budgettet til det.
Siden begyndelsen har HIPAA altid været den bedste, men alligevel utilstrækkelige, regulering, der dikterer cybersikkerhed for sundhedsindustrien.
"[Der er] en historie med fokus på det forkerte sted på grund af den måde, HIPAA blev lagt ud på i midten af 1990'erne," siger Errol Weiss, Chief Information Security Officer (CISO) for Healthcare Information Sharing and Analysis Center (Health-ISAC). "Dengang var der et stort skub for at overføre læge- og sundhedsjournaler til det elektroniske medie. Og med fremkomsten af HIPAA-reglerne handlede det om at beskytte patientens privatliv, men ikke nødvendigvis at sikre disse journaler."
HIPAA's fokus på privatlivets fred begrænsede dets evne til at imødegå flere forskellige cybersikkerhedstrusler i 2010'erne, især ransomware. I mellemtiden, i stedet for at bruge det som en baseline for at udvikle en robust sikkerhedsstilling, havde organisationer en tendens til at behandle HIPAA mere som et sæt af kasser, der skulle tjekkes. "Det endte at drive budgetter mod overholdelse og ikke nødvendigvis sikkerhed. Og i de seneste fem-seks år har vi set, hvad der sker i et miljø, der ikke er ordentligt sikret, ikke ordentligt bundet ned, ikke ordentligt sikkerhedskopieret, når de bliver ramt af ransomware,” siger Weiss.
"Selvom de allerede følger alle NIST-kontrollerne," vurderer Dispersives Pingree, at implementering af de nye HIPAA-sikkerhedsregler "kan koste så lavt som $100,000 for et lille lægekontor, eller det kan være mange millioner, hvis du er en stor læge gruppe."
En mulig måde, hvorpå strakte sundhedsorganisationer kan navigere i alle disse nye regler og deres tilknyttede omkostninger, er med en outsourcet, virtuel chief information security officer (vCISO), ifølge Weiss. For ”det handler ikke kun om at købe teknologien. Det handler også om at rekruttere og fastholde den cybersikkerhedsekspertise, som du skal drive,” siger han.
"Disse organisationer ved ikke, hvor de skal starte," fortsætter han. "Markedet for cybersikkerhed er meget forvirrende. Der er mange spillere. Der er mange løsninger. Så hvis du har $100 at bruge på cybersikkerhed, hvor bruger du så det? De har brug for hjælp til at kunne finde ud af alt det. Og jeg tror, at noget som en virtuel CISO kan hjælpe med at implementere en strategi og så være til stede på virtuel basis - for at tjekke ind, for at være en ressource for den organisation, når de har spørgsmål, og de har brug for noget hjælp. Det virker som en anstændig model for disse små hospitaler på landet, der ikke nødvendigvis kunne retfærdiggøre eller ansætte en fuldtidsansatte CISO."
Læs hele artiklen i Dark Reading. Klik her
