Zdravstvene organizacije svih oblika i veličina bit će podvrgnute strožim standardima kibernetičke sigurnosti počevši od 2025. s novim predloženim pravilima, ali nemaju sve proračun za to.
Od početka je HIPAA uvijek bila najbolja, ali nedovoljna regulativa koja nalaže kibernetičku sigurnost za zdravstvenu industriju.
"[Postoji] povijest u kojoj je fokus bio na krivom mjestu zbog načina na koji je HIPAA postavljen sredinom 1990-ih", kaže Errol Weiss, glavni službenik za informacijsku sigurnost (CISO) Centra za razmjenu i analizu zdravstvenih informacija (Health-ISAC). “U to vrijeme postojao je veliki potisak da se medicinski i zdravstveni kartoni prenesu na elektronički medij. A s dolaskom propisa HIPAA-e, sve se svodilo na zaštitu privatnosti pacijenata, ali ne nužno i na osiguranje tih zapisa.”
Usredotočenost HIPAA-e na privatnost ograničila je njegovu sposobnost rješavanja raznovrsnijih prijetnji kibernetičkoj sigurnosti u 2010-ima, posebice ransomwarea. U međuvremenu, umjesto da ga koriste kao osnovu za razvoj čvrstog sigurnosnog stava, organizacije su više tretirale HIPAA kao skup okvira koje treba provjeriti. “Završilo je usmjeravanje proračuna prema usklađenosti, a ne nužno prema sigurnosti. A u proteklih pet ili šest godina, vidjeli smo što se događa u okruženju koje nije pravilno osigurano, nije pravilno vezano, nije pravilno sigurnosno kopirano, kada ih je pogodio ransomware,” kaže Weiss.
"Čak i ako već slijede sve NIST kontrole", procjenjuje Dispersive's Pingree, implementacija novih sigurnosnih pravila HIPAA "mogla bi stajati samo 100,000 dolara za malu liječničku ordinaciju, ili bi to moglo biti mnogo milijuna ako ste veliki medicinski skupina."
Jedan od mogućih načina na koji bi opterećene zdravstvene organizacije mogle upravljati svim tim novim pravilima i njihovim povezanim troškovima je vanjski, virtualni glavni službenik za informacijsku sigurnost (vCISO), prema Weissu. Jer “ne radi se samo o kupnji tehnologije. Također se radi o zapošljavanju i zadržavanju stručnosti u kibernetičkoj sigurnosti koju trebate voditi,” kaže on.
“Ove organizacije ne znaju odakle početi”, nastavlja. “Tržište kibernetičke sigurnosti vrlo je zbunjujuće. Puno je igrača. Ima puno rješenja. Dakle, ako imate 100 dolara za potrošiti na kibernetičku sigurnost, gdje ćete to potrošiti? Treba im pomoć da sve to shvate. I mislim da nešto poput virtualnog CISO-a može pomoći u provedbi strategije, a zatim biti u blizini na virtualnoj osnovi — prijaviti se, biti izvor za tu organizaciju kada imaju pitanja i trebaju pomoć. Čini se kao pristojan model za ove male ruralne bolnice koje ne mogu nužno opravdati ili zaposliti CISO-a na puno radno vrijeme.”
Pročitajte cijeli članak u Dark Readingu. Klikni ovdje
