医療機関は、事後対応型から予防型サイバーセキュリティへの移行に苦戦している

スティーブ・アルダー投稿 21年2025月XNUMX日

2025年ヘルスケアサイバーセキュリティベンチマーク調査の結果によると、医療機関は依然としてサイバーセキュリティに対して、リスク軽減のための積極的な対策を講じるのではなく、事後対応的なアプローチをとっている。この調査は、KLASリサーチがCensinetと共同で実施した。 健康ISAC、 スコッツデール研究所、アメリカ病院協会、ヘルスケアおよび公衆衛生セクター調整協議会の官民パートナーシップ。

多くの医療機関は、NISTサイバーセキュリティ・フレームワーク2.0、医療業界サイバーセキュリティ・プラクティス（HCIP）、NIST AIリスク管理フレームワーク（NIST AI RMF）、そして今年新たに追加された米国保健福祉省（HHS）の医療・公衆衛生セクターサイバーセキュリティ・パフォーマンス目標（HPH CPG）など、サイバーセキュリティのフレームワークとベストプラクティスを導入することで、サイバーセキュリティリスクを積極的に低減しています。本調査では、これらのフレームワークにおける自己申告の適用範囲と、サードパーティリスク管理や資産管理などの分野におけるギャップを調査しました。

今年は、69年2024月から2024月にかけて85の医療機関および保険機関が調査に参加し、結果は過去のベンチマーク調査と同様でした。例えば、NISTサイバーセキュリティフレームワーク78の「対応」（2.0%）と「復旧」（2024%）機能は、64年ヘルスケアサイバーセキュリティベンチマーク調査と同様に高いカバー率を示しました。今年の調査では、これらXNUMXつの機能と、NIST CSFの他のXNUMXつの機能（ガバナンス、識別、保護、検知）との間の格差が拡大していることが明らかになりました。ガバナンスと識別機能は、両機能のカバー率がXNUMX%で、最も低いスコアとなりました。

HIPAA ジャーナルの完全なベンチマーク調査にアクセスしてください。 ここをクリック

• 関連リソースとニュース