Kaikenmuotoisia ja -kokoisia terveydenhuollon organisaatioita pidetään tiukempien kyberturvallisuusstandardien mukaisesti vuodesta 2025 alkaen uusilla ehdotetuilla säännöillä, mutta kaikilla ei ole siihen budjettia.
HIPAA on alusta asti ollut aina paras, mutta riittämätön, terveydenhuollon kyberturvallisuutta saneleva sääntely.
"[On] historia, jossa painopiste on ollut väärässä paikassa, koska HIPAA asetettiin 1990-luvun puolivälissä", sanoo Errol Weiss, tietoturvapäällikkö (CISO) Healthcare Information Sharing and Analysis Centeristä (Health-ISAC). ”Silloin oli suuri paine siirtää lääketieteelliset ja terveystiedot sähköiseen tietovälineeseen. Ja HIPAA-säännösten myötä kyse oli potilaiden yksityisyyden suojaamisesta, mutta ei välttämättä näiden tietueiden turvaamisesta.
HIPAA:n keskittyminen yksityisyyteen rajoitti sen kykyä torjua monipuolisempia kyberturvallisuusuhkia 2010-luvulla, erityisesti lunnasohjelmia. Sen sijaan, että organisaatiot olisivat käyttäneet sitä perustana vankan turvallisuusasennon kehittämiseen, he pitivät HIPAA:ta enemmän laatikoina, jotka on tarkistettava. "Se päätyi ohjaa budjetteja kohti vaatimustenmukaisuutta eikä välttämättä turvallisuutta. Ja viimeisen viiden tai kuuden vuoden aikana olemme nähneet, mitä tapahtuu ympäristössä, jota ei ole suojattu kunnolla, ei ole kunnolla sidottu tai varmuuskopioitu kunnolla, kun niihin kohdistuu kiristysohjelma”, Weiss sanoo.
"Vaikka he jo noudattaisivat kaikkia NIST-ohjauksia", Dispersive's Pingree arvioi, uusien HIPAA-turvasääntöjen käyttöönotto, "voi maksaa jopa 100,000 XNUMX dollaria pienelle lääkärin vastaanotolle, tai se voi olla useita miljoonia, jos olet suuri lääkäri. ryhmä."
Weissin mukaan yksi mahdollinen tapa, jolla venyneet terveydenhuollon organisaatiot voivat navigoida kaikissa näissä uusissa säännöissä ja niihin liittyvissä kustannuksissa, on ulkoistettu virtuaalinen tietoturvapäällikkö (vCISO). Koska "kyse ei ole vain teknologian ostamisesta. Kyse on myös sen kyberturvallisuusosaamisen rekrytoinnista ja säilyttämisestä, jota tarvitset, hän sanoo.
"Nämä organisaatiot eivät tiedä mistä aloittaa", hän jatkaa. ”Kyberturvallisuusmarkkinat ovat hyvin hämmentävät. Pelaajia on paljon. Ratkaisuja on monia. Joten jos sinulla on 100 dollaria käytettävää kyberturvallisuuteen, mihin käytät sen? He tarvitsevat apua voidakseen selvittää tämän kaiken. Ja mielestäni virtuaalinen CISO voi auttaa toteuttamaan strategiaa ja olemaan sitten virtuaalisesti paikalla – kirjautumaan sisään, olemaan resurssi kyseiselle organisaatiolle, kun heillä on kysyttävää ja he tarvitsevat apua. Se näyttää kelvolliselta mallilta näille pienille maaseutusairaaloille, jotka eivät välttämättä voisi perustella tai palkata kokopäiväistä CISO:ta.
Lue koko artikkeli Dark Readingista. Klikkaa tästä
