Za zdravstvene organizacije vseh oblik in velikosti bodo od leta 2025 veljali strožji standardi kibernetske varnosti z novimi predlaganimi pravili, vendar nimajo vse proračuna za to.
HIPAA je bil od začetka vedno najboljši, a nezadostni predpis, ki narekuje kibernetsko varnost za zdravstveno industrijo.
»[Obstaja] zgodovina, ko je bil fokus na napačnem mestu zaradi načina, kako je bil HIPAA določen sredi devetdesetih let prejšnjega stoletja,« pravi Errol Weiss, glavni uradnik za informacijsko varnost (CISO) Centra za izmenjavo in analizo zdravstvenih informacij (Health-ISAC). »Takrat je prišlo do velikega zagona za prenos zdravstvenih kartotek v elektronski medij. In s prihodom predpisov HIPAA je šlo le za zaščito zasebnosti pacientov, ne pa nujno za zavarovanje teh evidenc.«
Osredotočenost HIPAA na zasebnost je omejila njegovo sposobnost obravnavanja bolj raznolikih groženj kibernetski varnosti v letu 2010, zlasti izsiljevalske programske opreme. Medtem pa so organizacije, namesto da bi ga uporabile kot osnovo za razvoj trdne varnostne drže, obravnavale HIPAA bolj kot niz polj, ki jih je treba preveriti. »Končalo se je usmerjanje proračunov v smeri skladnosti in ne nujno varnosti. In v zadnjih petih ali šestih letih smo videli, kaj se zgodi v okolju, ki ni ustrezno zavarovano, ni pravilno vezano, ni ustrezno varnostno kopirano, ko ga prizadene izsiljevalska programska oprema,« pravi Weiss.
»Tudi če že upoštevajo vse kontrole NIST,« ocenjuje Dispersive's Pingree, bi uvedba novih varnostnih pravil HIPAA »lahko stala tako nizko kot 100,000 $ za majhno zdravniško ordinacijo ali pa bi lahko veliko milijonov, če ste velik zdravstveni delavec. skupina."
Eden od možnih načinov, kako bi lahko obremenjene zdravstvene organizacije krmarile po vseh teh novih pravilih in z njimi povezanih stroških, je po besedah Weissa z zunanjim izvajalcem virtualnega vodje informacijske varnosti (vCISO). Ker »ne gre le za nakup tehnologije. Gre tudi za zaposlovanje in ohranjanje strokovnega znanja o kibernetski varnosti, ki ga morate voditi,« pravi.
"Te organizacije ne vedo, kje začeti," nadaljuje. »Trg kibernetske varnosti je zelo zmeden. Igralcev je veliko. Rešitev je veliko. Torej, če imate 100 USD, ki jih lahko porabite za kibernetsko varnost, kam jih porabite? Potrebujejo pomoč, da lahko vse to ugotovijo. In mislim, da lahko nekaj takega, kot je virtualni CISO, pomaga izvajati strategijo in je nato na virtualni osnovi – da se prijavi, da je vir za to organizacijo, ko ima vprašanja in potrebuje pomoč. Zdi se kot spodoben model za te majhne podeželske bolnišnice, ki ne morejo nujno upravičiti ali najeti CISO za polni delovni čas.«
Preberite celoten članek v Dark Reading. Klikni tukaj
