ყველა ფორმისა და ზომის ჯანდაცვის ორგანიზაცია 2025 წლიდან დაწყებული ახალი შემოთავაზებული წესებით კიბერუსაფრთხოების უფრო მკაცრი სტანდარტებით იქნება დაცული, მაგრამ ყველას არ აქვს ამისთვის ბიუჯეტი.
თავიდანვე, HIPAA ყოველთვის იყო საუკეთესო, მაგრამ არასაკმარისი რეგულაცია, რომელიც კარნახობს კიბერუსაფრთხოებას ჯანდაცვის ინდუსტრიისთვის.
„[არსებობს] ისტორია იმისა, რომ აქცენტი არასწორ ადგილას იყო, იმის გამო, რომ HIPAA იყო ჩამოყალიბებული 1990-იანი წლების შუა პერიოდში“, - ამბობს ეროლ ვაისიჯანდაცვის ინფორმაციის გაზიარებისა და ანალიზის ცენტრის (Health-ISAC) ინფორმაციული უსაფრთხოების მთავარი ოფიცერი (CISO). „იმ დროს იყო დიდი ბიძგი სამედიცინო და ჯანმრთელობის ჩანაწერების ელექტრონულ მედიაზე გადასატანად. და HIPAA-ს რეგულაციების მოსვლასთან ერთად, ეს ყველაფერი ეხებოდა პაციენტის კონფიდენციალურობის დაცვას, მაგრამ არა აუცილებლად ამ ჩანაწერების დაცვას.”
HIPAA-ს კონფიდენციალურობაზე ფოკუსირება ზღუდავდა მის უნარს 2010-იან წლებში უფრო მრავალფეროვანი კიბერუსაფრთხოების საფრთხეებზე, განსაკუთრებით გამოსასყიდ პროგრამაზე. იმავდროულად, იმის ნაცვლად, რომ გამოეყენებინათ იგი, როგორც საბაზისო საფუძველი უსაფრთხოების მძლავრი პოზის შესამუშავებლად, ორგანიზაციები მიდრეკილნი იყვნენ HIPAA-ს უფრო მეტად ეპყრობოდნენ, როგორც შესამოწმებელ ყუთებს. "დამთავრდა ბიუჯეტების მართვა შესაბამისობისკენ და არა აუცილებლად უსაფრთხოებისკენ. და ბოლო ხუთი ან ექვსი წლის განმავლობაში, ჩვენ ვნახეთ, რა ხდება გარემოში, რომელიც არ არის სათანადოდ დაცული, არ არის სათანადოდ მიბმული, არ არის სათანადოდ დამყარებული, როდესაც მათ ურტყამს გამოსასყიდი პროგრამა“, - ამბობს ვაისი.
"მაშინაც კი, თუ ისინი უკვე მიჰყვებიან NIST-ის ყველა კონტროლს," Dispersive's Pingree-ის შეფასებით, ახალი HIPAA უსაფრთხოების წესების დანერგვა "შეიძლება 100,000 აშშ დოლარი დაჯდეს პატარა ექიმის კაბინეტისთვის, ან შეიძლება იყოს მრავალი მილიონი, თუ დიდი სამედიცინო სპეციალისტი ხართ. ჯგუფი."
ვაისის თქმით, ერთ-ერთი შესაძლო გზა, რომელიც გაწელილ ჯანდაცვის ორგანიზაციებს შეუძლიათ ნავიგაცია გაუწიონ ყველა ამ ახალ წესს და მათთან დაკავშირებულ ხარჯებს, არის აუთსორსირებული, ვირტუალური ინფორმაციის უსაფრთხოების მთავარი ოფიცერი (vCISO). რადგან „ეს არ არის მხოლოდ ტექნოლოგიის შეძენა. ეს ასევე ეხება კიბერუსაფრთხოების ექსპერტიზის დაქირავებას და შენარჩუნებას, რომელიც თქვენ გჭირდებათ“, - ამბობს ის.
„ამ ორგანიზაციებმა არ იციან საიდან დაიწყონ“, განაგრძობს ის. „კიბერუსაფრთხოების ბაზარი ძალიან დამაბნეველია. ბევრი მოთამაშეა. გამოსავალი ბევრია. ასე რომ, თუ თქვენ გაქვთ 100 დოლარი კიბერუსაფრთხოებაზე დასახარჯად, სად ხარჯავთ ამას? მათ სჭირდებათ დახმარება, რათა შეძლონ ამ ყველაფრის გარკვევა. და მე ვფიქრობ, რომ რაღაც ვირტუალური CISO-ს მსგავსი შეიძლება დაეხმაროს სტრატეგიის განხორციელებაში, შემდეგ კი ვირტუალურ ბაზაზე - რათა დარეგისტრირდეს, იყოს რესურსი ამ ორგანიზაციისთვის, როდესაც მათ აქვთ შეკითხვები და მათ დახმარება სჭირდებათ. როგორც ჩანს, ღირსეული მოდელია ამ პატარა სოფლის საავადმყოფოებისთვის, რომელიც აუცილებლად არ შეიძლება გაამართლოს ან დაიქირაოს სრულ განაკვეთზე CISO. ”
წაიკითხეთ სრული სტატია Dark Reading-ში. გაგრძელება
