As organizacións sanitarias de todas as formas e tamaños aplicarán un estándar máis estrito de ciberseguridade a partir de 2025 con novas regras propostas, pero non todas teñen o orzamento para iso.
Desde o principio, HIPAA sempre foi a mellor, aínda que insuficiente, a regulación que dita a ciberseguridade para o sector da saúde.
"[Hai] unha historia de que o foco está no lugar equivocado debido á forma en que se elaborou HIPAA a mediados da década de 1990", di Errol Weiss, director de seguridade da información (CISO) do Centro de Análise e Compartimento de Información Sanitaria (Health-ISAC). “Nese momento, houbo este gran impulso para transferir os rexistros médicos e sanitarios ao medio electrónico. E coa chegada das regulacións HIPAA, tratábase de protexer a privacidade dos pacientes, pero non necesariamente protexer eses rexistros".
O foco de HIPAA na privacidade limitou a súa capacidade para abordar ameazas de ciberseguridade máis diversas na década de 2010, especialmente o ransomware. Mentres tanto, en lugar de usalo como base para desenvolver unha postura de seguridade sólida, as organizacións tendían a tratar a HIPAA máis como un conxunto de caixas para marcar. "Acabou impulsando os orzamentos cara ao cumprimento e non necesariamente á seguridade. E nos últimos cinco ou seis anos, vimos o que ocorre nun ambiente que non está debidamente protexido, non está debidamente atado, non está debidamente protexido, cando son afectados por un ransomware ", di Weiss.
"Aínda que xa estean seguindo todos os controis do NIST", estima Pingree de Dispersive, a implementación das novas regras de seguridade HIPAA "podería custar ata 100,000 dólares para un consultorio médico pequeno, ou podería ser moitos millóns se é un gran médico. grupo.”
Unha posible forma en que as organizacións sanitarias estendidas poden navegar por todas estas novas regras e os seus custos asociados é cun director virtual de seguridade da información (vCISO) externalizado, segundo Weiss. Porque “non se trata só de comprar a tecnoloxía. Tamén se trata de contratar e conservar a experiencia en ciberseguridade que precisa para executar", di.
"Estas organizacións non saben por onde comezar", continúa. "O mercado da ciberseguridade é moi confuso. Hai moitos xogadores. Hai moitas solucións. Entón, se tes 100 dólares para gastar en ciberseguridade, onde gastas iso? Necesitan axuda para poder entender todo iso. E creo que algo así como un CISO virtual pode axudar a implementar unha estratexia e, a continuación, estar presente de forma virtual: para rexistrarse, ser un recurso para esa organización cando teñen preguntas e necesitan axuda. Parece un modelo decente para estes pequenos hospitais rurais que non necesariamente poderían xustificar ou contratar un CISO a tempo completo”.
Le o artigo completo en Dark Reading. Pulse AQUÍ
