Большинство руководителей в сфере здравоохранения относятся к кибербезопасности в здравоохранении так же, как к страхованию от пожара: это статья расходов, которая существует потому, что должна, а не потому, что кто-то ожидает ею воспользоваться. Это предположение становится одной из самых дорогостоящих ошибок в современной медицине.
Расчеты уже не являются теоретическими. Один случай программы-вымогателя в здравоохранении теперь влечет за собой средний простой в 17 дней, при задокументированных потерях выручки около $1,9 миллиона в день. Для небольших региональных организаций пропорциональный ущерб часто оказывается хуже. У них меньше резервов, меньше избыточности и меньше возможностей поглотить сбой. Вопрос, на который большинство советов директоров так и не ответили, заключается в том, проводила ли их организация такие расчеты с учетом собственного профиля выручки.
Медицинские организации хранят три категории данных, которые пользуются высоким спросом на криминальных рынках: защищенная медицинская информация, финансовые отчеты и операционные учетные данные. Одна запись о пациенте стоит в среднем в 10–40 раз дороже, чем номер кредитной карты, и не потому, что она содержит больше информации, а потому, что ее нельзя отменить, и потому, что она позволяет совершать страховое мошенничество, которое может оставаться необнаруженным годами.
Проблемы кибербезопасности в здравоохранении коренятся глубже, чем просто ценность данных. Скотт Олдридж, основатель, президент и генеральный директор IP Services и соучредитель и президент Института ИТ-процессов (ITPI), утверждает, что здравоохранение сталкивается со структурной уязвимостью, которой обладают немногие другие отрасли: системы, критически важные для жизни, нельзя просто отключить во время инцидента. Когда сеть производителя выходит из строя, производство останавливается. Когда выходит из строя сеть больницы, в режиме реального времени нарушается маршрутизация пациентов, введение лекарств и планирование операций. Злоумышленники понимают эту динамику и часто используют срочность, связанную с оказанием помощи пациентам.
И все же наиболее распространенной институциональной реакцией на эту реальность остается ежегодный анализ рисков безопасности. Анализ рисков безопасности (SRA) — это мероприятие по обеспечению соответствия требованиям, предназначенное для документирования управления, а не для симуляции атаки. Организации, которые его проходят и считают работу выполненной, путают готовность к аудиту с операционной устойчивостью, и именно на этом различии происходят утечки.
Разрыв между этими двумя вещами редко является технологическим сбоем. Это сбой процесса. Политики существуют на бумаге, но не соблюдаются на практике. Элементы управления доступом были правильно настроены при установке и изменились по мере смены персонала и поставщиков. Учетные данные были выданы и никогда не проверялись. Аудит зафиксировал один момент времени. Злоумышленники действуют каждый день.
Стоимость утечки данных в сфере здравоохранения с точки зрения регулирования имеет нижний предел, который большинство советов директоров никогда не видели представленным в виде конкретной цифры. Штрафы HIPAA за умышленное пренебрежение, категория, применимой, когда организация знала об уязвимости и не устранила ее, начинаются от 10 000 долларов за нарушение и могут достигать $50 000 за нарушение. Утечка, затрагивающая несколько категорий защищенной информации, затрагивающая нескольких пострадавших лиц, может привести к накоплению этих штрафов таким образом, что они затмят первоначальное требование о выкупе.
В обсуждениях управления рисками кибербезопасности в здравоохранении на уровне совета директоров редко присутствует этот анализ в конкретных терминах. Скотт Олдридж утверждает, что многие советы директоров в сфере здравоохранения по-прежнему недооценивают, как быстро может возрасти регуляторное воздействие после утечки. Организации, которые количественно оценивают эти риски раньше, часто лучше подготовлены к принятию оперативных решений и решений об инвестициях до возникновения кризиса.
Когда финансовый директор медицинского учреждения говорит: «У нас есть киберстраховка, так что мы защищены», последующие вопросы имеют такое же значение, как и сам полис. Более 40% претензий по киберстрахованию отклоняются не из-за мошенничества, а из-за трех полностью предотвратимых пробелов: неспособность поддерживать задокументированные средства контроля, искажение информации о состоянии безопасности при подаче заявки и инциденты, исходящие от поставщика с непроверенным доступом. Эти пробелы редко пересматриваются перед продлением.
Понимание того, почему кибербезопасность важна в здравоохранении, больше не является правильным вопросом для руководящих команд. Правильный вопрос заключается в том, сколько будет стоить утечка для их конкретной организации, исходя из их данных, их выручки и их регуляторного профиля, прежде чем утечка обнажит эти затраты напрямую.
Аппарат МРТ против инвестиций в безопасность — это подлинная дилемма, но это неверная постановка вопроса. По мнению Олдриджа, обсуждение часто смещается от стоимости предотвращения к финансовым последствиям операционных сбоев. Вместо этого внимание сосредотачивается на вероятностно-взвешенной стоимости сбоя, который организация может быть не в состоянии полностью поглотить. Этот сдвиг — от рассмотрения безопасности как расхода к рассмотрению ее как расчета на выживание — меняет решение об инвестициях.
Кибербезопасность в здравоохранении — это не просто статья ИТ-бюджета. Для многих медицинских организаций кибербезопасность все чаще становится более широкой проблемой финансовой и операционной устойчивости, а не только заботой ИТ-отдела. Первый шаг — узнать свою реальную подверженность риску, прежде чем инцидент сделает этот расчет за вас.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carl Williams
