Здравствените организации од сите облици и големини ќе се држат до построги стандарди за сајбер-безбедност почнувајќи од 2025 година со новите предложени правила, но не сите имаат буџет за тоа.
Од самиот почеток, HIPAA отсекогаш била најдобрата, но сепак недоволна регулатива што ја диктира сајбер безбедноста за здравствената индустрија.
„[Има] историја на фокусот да биде на погрешно место поради начинот на кој HIPAA беше поставена во средината на 1990-тите“, вели Ерол Вајс, главен службеник за безбедност на информации (CISO) на Центарот за споделување и анализа на информации за здравствена заштита (Health-ISAC). „Во тоа време, имаше голем притисок за пренос на медицинските и здравствените досиеја на електронскиот медиум. И со доаѓањето на регулативите на HIPAA, сè беше за заштита на приватноста на пациентите, но не и за обезбедување на тие записи“.
Фокусот на HIPAA на приватноста ја ограничи неговата способност да одговори на поразновидните закани за сајбер безбедноста во 2010-тите, особено откупниот софтвер. Во меѓувреме, наместо да го користат како основа за развивање на робусно безбедносно држење, организациите имаа тенденција да го третираат HIPAA повеќе како збир на кутии за проверка. „Заврши придвижување на буџетите кон усогласеност и не нужно безбедност. И во изминатите пет или шест години, видовме што се случува во средина која не е соодветно обезбедена, не е соодветно врзана, не е соодветно поддржана, кога ќе бидат погодени од откупни софтвери“, вели Вајс.
„Дури и ако тие веќе ги следат сите контроли на NIST“, проценува Dispersive's Pingree, спроведувањето на новите безбедносни правила на HIPAA „може да чини дури 100,000 долари за мала лекарска ординација, или може да биде многу милиони ако сте голем лекар. група.”
Според Вајс, еден од можните начини на кои затегнатите здравствени организации би можеле да се движат со сите овие нови правила и нивните поврзани трошоци е со аутсорсинг, виртуелен главен службеник за безбедност на информации (vCISO). Бидејќи „не се работи само за купување на технологијата. Тоа е, исто така, за регрутирање и задржување на експертизата за сајбер-безбедност што треба да ја извршите“, вели тој.
„Овие организации не знаат од каде да почнат“, продолжува тој. „Пазарот за сајбер безбедност е многу збунувачки. Има многу играчи. Има многу решенија. Значи, ако имате 100 долари за трошење на сајбер безбедноста, каде го трошите тоа? Ним им треба помош за да можат да го сфатат сето тоа. И мислам дека нешто како виртуелен CISO може да помогне да се имплементира стратегија, а потоа да биде на виртуелна основа - да се пријави, да биде ресурс за таа организација кога имаат прашања и им треба помош. Изгледа како пристоен модел за овие мали рурални болници што не мора да го оправдаат или ангажираат CISO со полно работно време“.
Прочитајте ја целата статија во Темно читање. Кликни тука
