Ab 2025 müssen sich Gesundheitsorganisationen aller Art und Größe aufgrund neuer vorgeschlagener Regeln an strengere Standards in Bezug auf die Cybersicherheit halten, doch nicht alle verfügen über das nötige Budget.
Von Anfang an war HIPAA die beste, wenn auch unzureichende Regelung zur Cybersicherheit im Gesundheitswesen.
„[Es gibt] eine Geschichte, in der der Fokus auf der falschen Stelle lag, aufgrund der Art und Weise, wie HIPAA Mitte der 1990er Jahre ausgearbeitet wurde“, sagt Errol Weiss, Chief Information Security Officer (CISO) des Healthcare Information Sharing and Analysis Center (Health-ISAC). „Damals gab es einen großen Vorstoß, medizinische und Gesundheitsdaten auf elektronische Medien zu übertragen. Und mit dem Aufkommen der HIPAA-Vorschriften ging es zwar nur noch darum, die Privatsphäre der Patienten zu schützen, aber nicht unbedingt darum, diese Daten zu sichern.“
Der Fokus von HIPAA auf den Datenschutz beschränkte in den 2010er Jahren die Fähigkeit des Gesetzes, vielfältigere Cybersicherheitsbedrohungen, insbesondere Ransomware, zu bekämpfen. Anstatt es als Grundlage für die Entwicklung einer robusten Sicherheitslage zu verwenden, neigten Unternehmen dazu, HIPAA eher als eine Reihe von Kästchen zu betrachten, die abgehakt werden mussten. „Es endete damit, Budgets in Richtung Compliance und nicht unbedingt Sicherheit lenken„Und in den letzten fünf oder sechs Jahren haben wir gesehen, was in einer Umgebung passiert, die nicht richtig geschützt, nicht richtig abgesichert und nicht richtig gesichert ist, wenn sie von Ransomware betroffen ist“, sagt Weiss.
„Selbst wenn sie bereits alle NIST-Kontrollen einhalten“, schätzt Pingree von Dispersive, könnte die Implementierung der neuen HIPAA-Sicherheitsregeln „für eine kleine Arztpraxis nur 100,000 Dollar kosten, für eine große Ärztegruppe hingegen mehrere Millionen.“
Eine Möglichkeit, wie überlastete Gesundheitsorganisationen mit all diesen neuen Regeln und den damit verbundenen Kosten umgehen können, ist laut Weiss die Ausgliederung eines virtuellen Chief Information Security Officer (vCISO). Denn „es geht nicht nur darum, die Technologie zu kaufen. Es geht auch darum, die Cybersicherheitsexpertise zu rekrutieren und zu halten, die Sie für den Betrieb benötigen“, sagt er.
„Diese Organisationen wissen nicht, wo sie anfangen sollen“, fährt er fort. „Der Markt für Cybersicherheit ist sehr verwirrend. Es gibt viele Akteure. Es gibt viele Lösungen. Wenn Sie also 100 Dollar für Cybersicherheit ausgeben können, wo geben Sie das aus? Sie brauchen Hilfe, um das alles herauszufinden. Und ich denke, so etwas wie ein virtueller CISO kann bei der Umsetzung einer Strategie helfen und dann virtuell zur Stelle sein – um sich zu melden und als Ressource für diese Organisation zur Verfügung zu stehen, wenn sie Fragen haben und Hilfe brauchen. Es scheint ein gutes Modell für diese kleinen ländlichen Krankenhäuser zu sein, die sich einen Vollzeit-CISO nicht unbedingt leisten oder ihn einstellen könnten.“
Lesen Sie den vollständigen Artikel in Dark Reading. Mehr Info
