Соблюдение требований здравоохранения и кибербезопасность

По мере того, как зависимость здравоохранения от технологий становится все больше и больше, риски для безопасности продолжают расти. В этом гостевом посте Дэвид Вагнер, президент и главный исполнительный директор компании, занимающейся защитой электронной почты, предлагает лучшие практики для организаций, стремящихся внедрить и поддерживать успешные стратегии обеспечения соответствия.
________________________________________________________
Больницы полны активности и наводнены информацией. Всего один медицинский комплекс может содержать сотни сотрудников, которые используют тысячи устройств для доступа к обширной экосистеме медицинских данных. Таким образом, больницы и почти все другие учреждения здравоохранения тикают бомбы замедленного действия с точки зрения кибербезопасности и постоянно подвергаются риску серьезных нарушений.


В то время как организации в каждой отрасли сталкиваются с одинаковым вниманием и риском нарушения, здравоохранение уникально в двух отношениях. Во-первых, медицинская информация чрезвычайно чувствительна, так как сама природа данных может потенциально повлиять на сценарий жизни или смерти человека, если эти данные будут скомпрометированы. Во-вторых, здравоохранение опирается на огромное количество подключенных к сети устройств, которые не обязательно обновляются с той же скоростью, что и технологические достижения, и, следовательно, могут не иметь надлежащих мер киберзащиты или даже возможностей. Эти уникальные препятствия ставят отрасль здравоохранения на более высокий риск несоблюдения, что является важным отличием, поскольку нарушения в данных здравоохранения часто приводят к серьезным последствиям для поставщика медицинских услуг.
Эта ситуация не станет лучше, поскольку здравоохранение становится все более зависимым от технологий. Теперь, когда пациенты используют домашние устройства для передачи информации о здоровье, количество устройств, на которые хакеры могут ориентироваться, значительно увеличивается.
Хуже всего то, что средства обработки медицинских данных подпадают под действие Закона о мобильности и подотчетности медицинского страхования (HIPAA), в котором изложены стандарты, которые должны соблюдаться при обработке личной медицинской информации. Таким образом, любое неправильное использование такой информации может быть нарушением HIPAA, которое может повлечь за собой штраф до 1,5 млн. Долларов. Поэтому нам нужно начать думать о соответствии и кибербезопасности как о перекрывающихся требованиях: одно невозможно без другого.

Мышление “вне” соответствия
По мере того, как риски несоответствия становятся более универсальными для понимания и оценки, организации все больше осознают, что для предотвращения взлома требуется сочетание адекватной кибербезопасности и упреждающего, нисходящего организационного подхода к соблюдению. Что еще более важно, рассмотрение соблюдения как конечной цели, а не отправной точки быстро становится потерянной возможностью в здравоохранении.
Еще один важный аспект, который необходимо учитывать, заключается в том, что данные о состоянии здоровья не означают его оптимизации Больницы могут выполнять требования HIPAA, но в остальном данные являются инертными. Убедиться в том, что данные являются надежными и безопасными, – это только первый шаг, а также позиционирование данных для их доступности и организации может превратить данные в гораздо более ценный актив. Например, больницы могут начать сбор данных для случаев страхового мошенничества или для выявления неоптимальных результатов здравоохранения. Таким образом, данные можно рассматривать как мощный инструмент для одновременного улучшения качества ухода и управления автомобилем.
Мышление за рамками соблюдения также означает, что буква закона не является сущностью стратегии. Вместо того, чтобы делать только то, что требуется регулирующим органам, больницы корректируют свои рабочие процессы по

Leave a Reply

Your email address will not be published. Required fields are marked *