著者 ジュリア・アナロロ on 2025 年 1 月 17 日 。 で掲示される ニュースで .
あらゆる形態や規模の医療機関は、2025年から新しい規則案に基づいてより厳格なサイバーセキュリティ基準を遵守することになりますが、すべての医療機関がそのための予算を持っているわけではありません。
HIPAA は当初から、医療業界のサイバーセキュリティを規定する最善の規制ではありましたが、不十分な規制でした。
「1990年代半ばにHIPAAが策定された方法のせいで、焦点が間違った場所に置かれてきた歴史がある」と、 エロール・ワイス ヘルスケア情報共有分析センター (Health-ISAC) の最高情報セキュリティ責任者 (CISO) である、 氏は次のように語っています。「当時、医療記録や健康記録を電子媒体に移行する大きな動きがありました。そして HIPAA 規制の登場により、患者のプライバシー保護がすべてになりましたが、必ずしもそれらの記録のセキュリティが確保されるわけではありませんでした。」
HIPAAはプライバシーを重視していたため、2010年代のより多様なサイバーセキュリティの脅威、特にランサムウェアに対処する能力が制限されていました。一方、組織はHIPAAを堅牢なセキュリティ体制を構築するための基準としてではなく、チェックリストとして扱う傾向がありました。「結局、 予算を必ずしもセキュリティではなくコンプライアンスに振り向ける 「過去 5 ~ 6 年間で、適切に保護されておらず、適切に制限されておらず、適切にバックアップされていない環境でランサムウェアに襲われたときに何が起こるかを私たちは見てきました」とワイス氏は言います。
「たとえすでに NIST のすべての制御に従っていたとしても、新しい HIPAA セキュリティ ルールを実装するには、小規模な診療所であれば 100,000 万ドル程度のコストで済む可能性がありますが、大規模な医療グループであれば数百万ドルかかる可能性があります」と、Dispersive の Pingree 氏は見積もっています。
ワイス氏によると、負担の大きい医療組織がこれらすべての新しい規則とそれに伴うコストに対処する 1 つの方法は、外部委託された仮想最高情報セキュリティ責任者 (vCISO) を雇うことです。「それは単にテクノロジーを購入することだけではありません。運営に必要なサイバーセキュリティの専門知識を採用し、維持することも重要です」と同氏は言います。
「これらの組織はどこから始めればよいのか分かりません」と彼は続けます。「サイバーセキュリティ市場は非常に複雑です。多くのプレーヤーがいて、多くのソリューションがあります。サイバーセキュリティに 100 ドルを費やすとしたら、どこに費やすのでしょうか。これらすべてを理解するには支援が必要です。そして、バーチャル CISO のようなものが戦略の実施を支援し、バーチャルベースでその組織に存在して、質問や支援が必要なときにチェックインし、リソースとなることができると思います。これは、フルタイムの CISO を必ずしも正当化したり雇用したりできない、これらの小さな地方の病院にとって適切なモデルであるように思われます。」
記事全文は Dark Reading でお読みください。 詳細
