सभी आकार और प्रकार के स्वास्थ्य सेवा संगठनों को 2025 से नए प्रस्तावित नियमों के साथ साइबर सुरक्षा के सख्त मानक का पालन करना होगा, लेकिन सभी के पास इसके लिए बजट नहीं है।
शुरुआत से ही, HIPAA स्वास्थ्य सेवा उद्योग के लिए साइबर सुरक्षा को निर्धारित करने वाला सबसे अच्छा, फिर भी अपर्याप्त, विनियमन रहा है।
"1990 के दशक के मध्य में HIPAA को जिस तरह से तैयार किया गया था, उसके कारण फोकस गलत जगह पर होने का इतिहास रहा है," कहते हैं एरोल वेइसहेल्थकेयर सूचना साझाकरण और विश्लेषण केंद्र (हेल्थ-आईएसएसी) के मुख्य सूचना सुरक्षा अधिकारी (सीआईएसओ) डॉ. के.एस. रज़ा ने कहा, "उस समय, चिकित्सा और स्वास्थ्य रिकॉर्ड को इलेक्ट्रॉनिक माध्यम में स्थानांतरित करने के लिए बहुत ज़ोर दिया गया था। और एचआईपीएए विनियमों के आगमन के साथ, यह सब रोगी की गोपनीयता की रक्षा करने के बारे में था, लेकिन उन रिकॉर्ड को सुरक्षित करने के बारे में नहीं था।"
गोपनीयता पर HIPAA के फोकस ने 2010 के दशक में अधिक विविध साइबर सुरक्षा खतरों, विशेष रूप से रैनसमवेयर को संबोधित करने की इसकी क्षमता को सीमित कर दिया। इस बीच, एक मजबूत सुरक्षा स्थिति विकसित करने के लिए इसे आधार रेखा के रूप में उपयोग करने के बजाय, संगठनों ने HIPAA को चेक करने के लिए बक्से के एक सेट के रूप में अधिक माना। "यह अंततः हुआ बजट को अनुपालन की ओर ले जाना, जरूरी नहीं कि सुरक्षा की ओरवेइस कहते हैं, "पिछले पांच या छह सालों में हमने देखा है कि ऐसे माहौल में क्या होता है जो ठीक से सुरक्षित नहीं है, ठीक से बंधा नहीं है, ठीक से बैकअप नहीं है, जब वे रैनसमवेयर से प्रभावित होते हैं।"
डिस्पर्सिव के पिनग्री का अनुमान है कि, "भले ही वे पहले से ही सभी NIST नियंत्रणों का पालन कर रहे हों," नए HIPAA सुरक्षा नियमों को लागू करने में "एक छोटे डॉक्टर के कार्यालय के लिए कम से कम 100,000 डॉलर की लागत आ सकती है, या यदि आप एक बड़े चिकित्सा समूह हैं तो यह कई मिलियन डॉलर तक हो सकती है।"
वेइस के अनुसार, एक संभावित तरीका जिससे स्वास्थ्य सेवा संगठन इन सभी नए नियमों और उनसे जुड़ी लागतों से निपट सकते हैं, वह है आउटसोर्स, वर्चुअल चीफ इंफॉर्मेशन सिक्योरिटी ऑफिसर (vCISO) की नियुक्ति। क्योंकि "यह सिर्फ़ तकनीक खरीदने के बारे में नहीं है। यह साइबर सुरक्षा विशेषज्ञता की भर्ती और उसे बनाए रखने के बारे में भी है जिसकी आपको संचालन के लिए ज़रूरत है," वे कहते हैं।
"इन संगठनों को नहीं पता कि कहां से शुरुआत करें," वे आगे कहते हैं। "साइबर सुरक्षा बाजार बहुत भ्रामक है। इसमें बहुत से खिलाड़ी हैं। बहुत सारे समाधान हैं। इसलिए यदि आपके पास साइबर सुरक्षा पर खर्च करने के लिए $100 हैं, तो आप उसे कहां खर्च करेंगे? उन्हें यह सब समझने में सक्षम होने के लिए मदद की आवश्यकता है। और मुझे लगता है कि वर्चुअल CISO जैसी कोई चीज़ किसी रणनीति को लागू करने में मदद कर सकती है, और फिर वर्चुअल आधार पर मौजूद रह सकती है - जाँच करने के लिए, उस संगठन के लिए एक संसाधन बनने के लिए जब उनके पास कोई सवाल हो और उन्हें किसी मदद की ज़रूरत हो। यह इन छोटे ग्रामीण अस्पतालों के लिए एक अच्छा मॉडल लगता है जो ज़रूरी नहीं कि पूर्णकालिक CISO को उचित ठहराएँ या नियुक्त करें।"
पूरा लेख डार्क रीडिंग में पढ़ें। यहाँ क्लिक करें
