องค์กรด้านการดูแลสุขภาพยังคงใช้แนวทางเชิงรับต่อความปลอดภัยทางไซเบอร์แทนที่จะดำเนินการเชิงรุกเพื่อลดความเสี่ยง ตามผลการศึกษาเปรียบเทียบความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพประจำปี 2025 การศึกษาดังกล่าวดำเนินการโดย KLAS Research ร่วมกับ Censinet สุขภาพ-ISAC, สถาบัน Scottsdale สมาคมโรงพยาบาลอเมริกัน และสภาประสานงานภาคส่วนการดูแลสุขภาพและสาธารณสุขในการเป็นหุ้นส่วนสาธารณะ-เอกชน
องค์กรด้านการดูแลสุขภาพจำนวนมากกำลังดำเนินการลดความเสี่ยงด้านความปลอดภัยทางไซเบอร์อย่างจริงจังด้วยการนำกรอบงานด้านความปลอดภัยทางไซเบอร์และแนวทางปฏิบัติที่ดีที่สุดมาใช้ รวมถึงกรอบงานด้านความปลอดภัยทางไซเบอร์ 2.0 ของ NIST, แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของอุตสาหกรรมสุขภาพ (HCIP), กรอบงานการจัดการความเสี่ยงด้าน AI ของ NIST (NIST AI RMF) และเป้าหมายประสิทธิภาพด้านความปลอดภัยทางไซเบอร์ของภาคส่วนการดูแลสุขภาพและสาธารณสุข (HPH CPGs) ของกระทรวงสาธารณสุขและบริการมนุษย์ (HHS) ซึ่งเป็นส่วนเพิ่มเติมใหม่สำหรับปีนี้ การศึกษานี้พิจารณาถึงความครอบคลุมที่รายงานด้วยตนเองภายในกรอบงานเหล่านี้และช่องว่างที่ยังคงมีอยู่เกี่ยวกับพื้นที่ต่างๆ เช่น การจัดการความเสี่ยงของบุคคลที่สามและการจัดการสินทรัพย์
ในปีนี้ องค์กรด้านการดูแลสุขภาพและผู้ชำระเงิน 69 แห่งเข้าร่วมการสำรวจระหว่างเดือนกันยายน 2024 ถึงเดือนธันวาคม 2024 และผลลัพธ์นั้นคล้ายคลึงกับการศึกษาเปรียบเทียบประสิทธิภาพก่อนหน้านี้ ตัวอย่างเช่น มีการครอบคลุมฟังก์ชัน Respond (85%) และ Recover (78%) ของ NIST Cybersecurity Framework 2.0 สูง ซึ่งเป็นกรณีเดียวกับการศึกษาเปรียบเทียบประสิทธิภาพความปลอดภัยทางไซเบอร์ด้านการดูแลสุขภาพประจำปี 2024 การศึกษาในปีนี้เผยให้เห็นถึงความแตกต่างที่เพิ่มมากขึ้นระหว่างฟังก์ชันทั้งสองนี้กับฟังก์ชันอีกสี่ประการของ NIST CSF ได้แก่ Govern, Identify, Protect และ Detect ฟังก์ชัน Govern และ Identify ได้รับคะแนนต่ำสุดร่วมกัน โดยมีการครอบคลุม 64% ในทั้งสองฟังก์ชัน
