Zorginstellingen van alle soorten en maten moeten zich vanaf 2025 aan strengere normen voor cyberbeveiliging houden met nieuwe voorgestelde regels. Maar niet alle organisaties hebben daar het budget voor.
HIPAA is al sinds het begin de beste, maar nog steeds ontoereikende, regelgeving die cyberbeveiliging voor de gezondheidszorgsector dicteert.
“[Er is] een geschiedenis van het feit dat de focus op de verkeerde plaats lag vanwege de manier waarop HIPAA halverwege de jaren negentig werd opgesteld”, zegt Errol Weiss, chief information security officer (CISO) van het Healthcare Information Sharing and Analysis Center (Health-ISAC). “Destijds was er een grote drang om medische en gezondheidsdossiers over te zetten naar het elektronische medium. En met de komst van de HIPAA-regelgeving ging het allemaal om het beschermen van de privacy van patiënten, maar niet per se om het beveiligen van die dossiers.”
De focus van HIPAA op privacy beperkte de mogelijkheid om meer diverse cybersecuritybedreigingen in de jaren 2010 aan te pakken, met name ransomware. In plaats van het te gebruiken als basis voor het ontwikkelen van een robuuste beveiligingshouding, behandelden organisaties HIPAA meer als een set vakjes om aan te vinken. "Het eindigde budgetten richten op naleving en niet per se op beveiliging. En in de afgelopen vijf of zes jaar hebben we gezien wat er gebeurt in een omgeving die niet goed beveiligd is, niet goed vastligt, niet goed geback-upt is, wanneer ze getroffen worden door ransomware," zegt Weiss.
"Zelfs als ze al alle NIST-controles volgen", schat Pingree van Dispersive, kan de implementatie van de nieuwe HIPAA-beveiligingsregels "voor een kleine dokterspraktijk slechts $ 100,000 kosten, maar voor een grote medische groep kan het vele miljoenen kosten."
Een mogelijke manier waarop organisaties in de gezondheidszorg die onder druk staan, al deze nieuwe regels en de bijbehorende kosten kunnen navigeren, is met een uitbestede, virtuele chief information security officer (vCISO), aldus Weiss. Want "het gaat niet alleen om het kopen van de technologie. Het gaat ook om het werven en behouden van de cybersecurity-expertise die je nodig hebt om te kunnen werken", zegt hij.
"Deze organisaties weten niet waar ze moeten beginnen", vervolgt hij. "De cybersecuritymarkt is erg verwarrend. Er zijn veel spelers. Er zijn veel oplossingen. Dus als je $ 100 te besteden hebt aan cybersecurity, waar geef je dat dan uit? Ze hebben hulp nodig om dat allemaal uit te zoeken. En ik denk dat zoiets als een virtuele CISO kan helpen bij het implementeren van een strategie, en dan virtueel aanwezig kan zijn - om in te checken, om een bron te zijn voor die organisatie als ze vragen hebben en wat hulp nodig hebben. Het lijkt een behoorlijk model voor deze kleine plattelandsziekenhuizen die niet per se een fulltime CISO kunnen rechtvaardigen of inhuren."
Lees het volledige artikel in Dark Reading. Klik Hier
