ถึงเวลาแล้วที่องค์กรด้านการดูแลสุขภาพจะมองว่าความปลอดภัยทางไซเบอร์เป็นการบริหารความเสี่ยง

By Posted on

ต่อไปนี้เป็นบทความรับเชิญโดย Mike Levin ที่ปรึกษาทั่วไปและประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ Solera Health

ในระบบนิเวศการดูแลสุขภาพที่เชื่อมโยงถึงกันในปัจจุบัน ทุกองค์กร ตั้งแต่ระบบการดูแลสุขภาพที่ใหญ่ที่สุดไปจนถึงผู้จำหน่ายเฉพาะทาง มีบทบาทสำคัญในการปกป้องข้อมูลผู้ป่วย ความรับผิดชอบร่วมกันนี้กำหนดให้เราต้องพัฒนาความคิดของเราเกี่ยวกับความปลอดภัยทางไซเบอร์

กิจกรรมในอุตสาหกรรมล่าสุดได้เน้นย้ำว่าระบบนิเวศด้านการดูแลสุขภาพมีความเชื่อมโยงถึงกันอย่างไร เมื่อผู้ให้บริการโครงสร้างพื้นฐานรายใหญ่ประสบเหตุการณ์ต่างๆ ผลกระทบจะแสดงให้เห็นว่าเหตุใดเราทุกคนจึงต้องทำงานร่วมกันเพื่อเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยโดยรวมของเรา

เมื่อปีที่แล้ว ผู้คนเกือบ 190 ล้านคนได้รับผลกระทบจากการละเมิดการรักษาพยาบาลที่ใหญ่ที่สุดและแพงที่สุดในประวัติศาสตร์ หลายคนไม่รู้ว่าข้อมูลของตนไหลผ่านระบบที่ถูกบุกรุกจนกว่าพวกเขาจะได้รับจดหมายแจ้งเตือน ข้อมูลสุขภาพส่วนบุคคลของพวกเขาถูกกวาดล้างจากการละเมิดห่วงโซ่อุปทานที่พวกเขาไม่รู้ด้วยซ้ำว่ามีอยู่จริง เพียงเพราะผู้ให้บริการหรือแผนสุขภาพของพวกเขาใช้ผู้ขายบุคคลที่สามในการประมวลผลการชำระเงิน

นี่คือความเป็นจริงของความปลอดภัยทางไซเบอร์ในการดูแลสุขภาพในปัจจุบัน การมีส่วนร่วมของบุคคลที่สามในการละเมิดเพิ่มขึ้นสองเท่าเป็น 30% และ 56% ขององค์กรด้านการดูแลสุขภาพประสบปัญหาการละเมิดผ่านซัพพลายเออร์ของตนในช่วงสองปีที่ผ่านมา มันไม่ใช่แค่เกี่ยวกับสภาพแวดล้อมของคุณเองเท่านั้น มันเกี่ยวกับว่าคุณปล่อยให้ใครเข้ามาในบ้าน และวิธีที่คุณบังคับใช้มาตรฐานของคุณกับบุคคลที่สามเหล่านั้น

ความปลอดภัยทางไซเบอร์: การบริหารความเสี่ยงที่เหนือกว่าการบรรเทาผลกระทบ

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์มีแนวโน้มที่จะมุ่งเน้นไปที่การบรรเทาหรือระบุความเสี่ยงและจัดให้มีการควบคุมเพื่อให้สามารถจัดการได้อย่างเหมาะสม แต่ในการบริหารความเสี่ยง การบรรเทาผลกระทบเป็นเพียงเครื่องมือเดียวเท่านั้น คุณสามารถยอมรับความเสี่ยงหรือโอนความเสี่ยงก็ได้ และองค์กรด้านการดูแลสุขภาพหลายแห่งมองข้ามตัวเลือกที่สามนี้

นี่คือที่มาของสัญญาทางกฎหมายและการประกันภัย

หากสัญญาไม่ได้เป็นส่วนหนึ่งของกลยุทธ์ความปลอดภัยทางไซเบอร์ของคุณ สัญญาเหล่านั้นก็ต้องเป็นเช่นนั้น สัญญาทางกฎหมายและกลไกการถ่ายโอนความเสี่ยง เช่น การประกันภัยทางไซเบอร์ ช่วยให้องค์กรสามารถแบ่งปันและจัดการความเสี่ยงกับซัพพลายเออร์บุคคลที่สามได้อย่างมีประสิทธิภาพมากขึ้น

เมื่อทำถูกต้อง สัญญาทางกฎหมายกับผู้จำหน่ายบุคคลที่สามจะบังคับใช้ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ กำหนดภาระหน้าที่ในการแจ้งเตือนการละเมิด และมอบหมายความรับผิดทางการเงินในกรณีที่มีการละเมิด

ความเสี่ยงด้านซัพพลายเชนส่งผลกระทบต่อการดูแลสุขภาพมากขึ้น

ความเสี่ยงจากบุคคลที่สามและห่วงโซ่อุปทานถือเป็นความท้าทายในอุตสาหกรรมต่างๆ แต่ในภาคการดูแลสุขภาพ ความเสี่ยงจะสูงขึ้นด้วยเหตุผลหลายประการ:

  • การรวมสูง: การบูรณาการในแนวดิ่งของการดูแลสุขภาพหมายความว่าการละเมิดเพียงครั้งเดียวอาจส่งผลกระทบต่อคลินิกหลายพันแห่งและผู้ป่วยหลายล้านคน ข้อมูล HHS แสดงให้เห็นว่า 30% ของการละเมิดด้านการดูแลสุขภาพเกิดขึ้นกับผู้ร่วมธุรกิจ

  • ความไว้วางใจของผู้ป่วย: ผู้ป่วยไม่ได้เลือกผู้จำหน่ายที่คุณร่วมงานด้วย แต่พวกเขายังคงต้องจ่ายราคาหากผู้จำหน่ายเหล่านั้นเปิดเผยข้อมูลของตนและเมื่อใด

  • ภาระผูกพันตามกฎระเบียบ: HIPAA และกฎระเบียบอื่นๆ กำหนดให้คุณต้องปกป้องข้อมูลผู้ป่วยไม่ว่าจะไปที่ใดก็ตาม ทำให้สัญญาและการกำกับดูแลของคุณมีความสำคัญอย่างยิ่งในการจำกัดความเสี่ยงในการต้องเสียค่าปรับหากมีสิ่งผิดปกติเกิดขึ้น การละเมิดการรักษาพยาบาลในปัจจุบันมีค่าใช้จ่ายโดยเฉลี่ย 9.77 ล้านดอลลาร์ ซึ่งมากกว่าสองเท่าของค่าเฉลี่ย 4.88 ล้านดอลลาร์ในทุกอุตสาหกรรม

จำเป็นต้องมีโปรแกรมรักษาความปลอดภัยภายในที่แข็งแกร่ง แต่ยังไม่เพียงพอ หากซัพพลายเออร์ของคุณไม่รักษามาตรฐานที่เท่าเทียมกัน องค์กรของคุณและผู้ป่วยของคุณยังคงมีความเสี่ยง

ทำให้ความปลอดภัยทางไซเบอร์เป็นกลยุทธ์การบริหารความเสี่ยง

การรักษาความปลอดภัยทางไซเบอร์ได้กลายเป็นองค์ประกอบที่สำคัญของการบริหารความเสี่ยง และเกิดขึ้นจริงผ่านการดำเนินการเชิงปฏิบัติที่ทำทุกวันเพื่อปกป้ององค์กรและผู้ป่วยของคุณ วิธีที่องค์กรด้านการดูแลสุขภาพสามารถนำแนวคิดนี้ไปปฏิบัติได้ ได้แก่:

การประเมินความปลอดภัยของซัพพลายเออร์เสร็จสมบูรณ์

ซัพพลายเออร์บุคคลที่สามอาจเป็นจุดอ่อนที่สุดในห่วงโซ่ แต่หลายรายยังคงคิดว่าชื่อเสียงของซัพพลายเออร์ที่ยอดเยี่ยมเท่ากับความปลอดภัย สิ่งที่จำเป็นคือการขอหลักฐานการควบคุมจากผู้จำหน่าย เช่น ผลการทดสอบการเจาะ รายงาน SOC 2 Type II การรับรอง HITRUST การปรับแนว NIST CSF และอื่นๆ คุณควรกำหนดเวลาการตรวจสอบความปลอดภัยเป็นประจำ โดยเฉพาะอย่างยิ่งสำหรับผู้จำหน่ายที่ทำงานกับ PHI หรือโครงสร้างพื้นฐานที่สำคัญ ประเด็นสำคัญ: ความเสี่ยงของซัพพลายเออร์คือความเสี่ยงของคุณ

สร้างข้อกำหนดด้านความปลอดภัยที่แข็งแกร่งไว้ในสัญญา

ดังที่เราได้กล่าวไปแล้ว สัญญาของคุณกับผู้จำหน่ายควรใช้เป็นเครื่องมือในการบังคับใช้มาตรฐานความปลอดภัยทางไซเบอร์ขององค์กรของคุณเอง ใช้ภาษาที่ชัดเจนและธรรมดาที่สะกดความคาดหวัง ไม่ว่าจะเป็นข้อกำหนดในการเข้ารหัส การควบคุมการเข้าถึง หรือไทม์ไลน์การจัดการแพตช์ กรอบงานจากองค์กรต่างๆ เช่น NIST หรือ HITRUST สามารถใช้เป็นพื้นฐานได้ แต่สัญญาของคุณควรมีความเฉพาะเจาะจงเพียงพอที่จะดำเนินการได้และปกป้ององค์กรของคุณหากมีการละเมิดเกิดขึ้น

ติดตั้งอาร์ไทม์ไลน์การแจ้งเตือนการละเมิดที่สมจริง

ทันทีที่มีการละเมิดเกิดขึ้น นาฬิกาจะเดินต่อไป และคุณคงไม่อยากถูกทิ้งไว้ในความมืดหากซัพพลายเออร์รายใดรายหนึ่งของคุณประสบกับเหตุการณ์ หากไม่มีการแจ้งเตือนซัพพลายเออร์ทันที ความล่าช้าเหล่านี้ก็จะเลวร้ายลงอย่างเป็นอันตราย ตรวจสอบให้แน่ใจว่าซัพพลายเออร์ของคุณตกลงที่จะแจ้งให้คุณทราบภายในกรอบเวลาที่กำหนด เพื่อให้คุณสามารถดำเนินการปกป้องข้อมูลของคุณได้อย่างรวดเร็ว ยิ่งไทม์ไลน์สั้นลงก็ยิ่งดี แต่แน่นอนว่า 24 ถึง 72 ชั่วโมงเป็นกรอบเวลาทั่วไป

กำหนดความรับผิดชอบที่ชัดเจน

การจัดการความเสี่ยงที่มีประสิทธิผลในแง่นี้เกี่ยวข้องกับภาษาที่ชัดเจนในสัญญาที่ระบุว่าใครคือผู้ที่ได้ประโยชน์เมื่อมีสิ่งผิดปกติเกิดขึ้น ข้อตกลงของคุณควรระบุถึงความรับผิดทางการเงินสำหรับการละเมิดข้อมูล บทลงโทษตามกฎระเบียบ และค่าใช้จ่ายในการแก้ไข ลดการชี้นิ้ว และให้เส้นทางการกู้คืนที่ชัดเจนยิ่งขึ้น หากการหมดอายุของผู้ขายส่งผลกระทบต่อองค์กรของคุณ

ตรวจสอบการประกันภัยทางไซเบอร์สำหรับคุณและซัพพลายเออร์ของคุณให้ละเอียดยิ่งขึ้น

การประกันภัยทางไซเบอร์ควรเป็นส่วนหนึ่งของกลยุทธ์ความเสี่ยงโดยรวมของคุณ และครอบคลุมมากกว่าความคุ้มครองของคุณเอง ยืนยันว่าซัพพลายเออร์ของคุณมีการประกันภัยทางไซเบอร์ที่เพียงพอ และทำความเข้าใจว่านโยบายของพวกเขาสอดคล้องกับความเสี่ยงของคุณอย่างไร คุณคงไม่อยากรอจนกระทั่งหลังเกิดเหตุเพื่อดูว่าสิ่งใดครอบคลุมและสิ่งใดไม่ครอบคลุม

ส่งเสริมการทำงานร่วมกันอย่างแท้จริงระหว่างทีมกฎหมายและทีมรักษาความปลอดภัย

เป็นเรื่องปกติที่ทีมกฎหมายและทีมรักษาความปลอดภัยทางไซเบอร์จะดำเนินงานแยกจากกัน แต่การทำงานร่วมกันทำให้พวกเขาได้รับโอกาสที่ดีที่สุดในการจัดการความเสี่ยงทั่วทั้งองค์กรอย่างมีประสิทธิภาพ ทีมกฎหมายเป็นผู้เชี่ยวชาญด้านสัญญาและข้อบังคับ และทีมรักษาความปลอดภัยทางไซเบอร์เข้าใจความเป็นจริงทางเทคนิคของภัยคุกคามและการควบคุมทางไซเบอร์ ทีมเหล่านี้ทำงานร่วมกันเพื่อช่วยร่างสัญญาที่บังคับใช้และใช้งานได้จริงซึ่งตรงกับความต้องการเฉพาะขององค์กรของคุณ

ขนาดของปัญหานั้นใหญ่โตมาก โดยในปี 2024 เพียงปีเดียว การละเมิดการรักษาพยาบาลที่สำคัญ 725 ครั้งเผยให้เห็น 82% ของสถิติประชากรสหรัฐ ด้วย 81% ของการละเมิดที่เกี่ยวข้องกับการแฮ็กหรือเหตุการณ์ด้านไอที ภาพรวมภัยคุกคามได้เปลี่ยนพื้นฐานจากความล้มเหลวภายในไปสู่การโจมตีภายนอก โดยส่วนใหญ่มาจากความสัมพันธ์ของผู้จำหน่ายที่เชื่อถือได้

ในโลกแห่งความเป็นจริง การรักษาความปลอดภัยทางไซเบอร์ไม่ใช่สิ่งที่สามารถจ้างทีมงานไอที ผู้ให้บริการรักษาความปลอดภัย หรือผู้ขายของคุณได้อย่างเต็มที่ เป็นความรับผิดชอบร่วมกันที่กำหนดให้ผู้นำต้องพิจารณาการตัดสินใจด้านความปลอดภัยทุกครั้งผ่านเลนส์การจัดการความเสี่ยง การรวมองค์ประกอบความปลอดภัยทางไซเบอร์เข้ากับกรอบทางกฎหมายของคุณจะช่วยปกป้องระบบของคุณตลอดจนผู้ป่วย ชื่อเสียงขององค์กรของคุณ และความไว้วางใจที่ผู้คนมีต่อความสามารถในการให้บริการดูแลของคุณ

องค์กรที่ประสบความสำเร็จมากที่สุดมองว่าซัพพลายเออร์ของตนเป็นพันธมิตรด้านความปลอดภัยที่ทำงานร่วมกันเพื่อปกป้องผู้ป่วยที่พวกเขาให้บริการร่วมกัน

การเคลื่อนไหวสู่ความยืดหยุ่นที่แท้จริง

ที่ Solera Health ฉันมีโอกาสค่อนข้างน้อยที่จะสวมหมวกสองใบ ได้แก่ CISO และที่ปรึกษาทั่วไป ไม่ใช่การผสมผสานกันโดยทั่วไป แต่ทำให้ฉันเห็นภาพรวมว่าองค์กรจะแข็งแกร่งขึ้นได้มากเพียงใดเมื่อทีมกฎหมายและความปลอดภัยทางไซเบอร์ทำงานร่วมกันภายใต้ภารกิจร่วมกันในการปกป้องข้อมูลผู้ป่วยและจัดการความเสี่ยง

องค์กรด้านการดูแลสุขภาพจำเป็นต้องก้าวไปไกลกว่าการคำนึงถึงความปลอดภัยทางไซเบอร์ว่าเป็นเพียงปัญหาทางเทคนิคสำหรับทีมไอทีที่ต้องแก้ไข ภัยคุกคามในปัจจุบันและความเป็นจริงของการไหลของข้อมูลระหว่างซัพพลายเออร์และห่วงโซ่อุปทานจำเป็นต้องมีมุมมองที่กว้างขึ้น การรักษาความปลอดภัยทางไซเบอร์คือการบริหารความเสี่ยง เรียบง่ายและเรียบง่าย และการจัดการความเสี่ยงนี้ต้องใช้ความสามารถทางเทคนิคที่แข็งแกร่ง ควบคู่ไปกับกรอบทางกฎหมายที่ใช้การได้ สัญญาที่ชัดเจน กลยุทธ์การประกันภัย และการทำงานร่วมกันอย่างต่อเนื่องระหว่างทีม

ท้ายที่สุดแล้ว การปกป้องข้อมูลผู้ป่วยไม่ใช่สิ่งที่เกิดขึ้นโดยบังเอิญ มันเป็นผลมาจากการตัดสินใจอย่างมีสติเพื่อสร้างความยืดหยุ่นให้กับบุคลากร กระบวนการ และเทคโนโลยีของคุณ การใช้ความปลอดภัยทางไซเบอร์เป็นเครื่องมือบริหารความเสี่ยงทำให้องค์กรด้านการดูแลสุขภาพเตรียมพร้อมรับมือกับสิ่งที่ไม่คาดคิดได้ดีขึ้น ในขณะเดียวกันก็รักษาความไว้วางใจของผู้ป่วยไว้เป็นแนวหน้า

อุตสาหกรรมการดูแลสุขภาพได้เรียนรู้บทเรียนอันมีค่าจากเหตุการณ์ในอดีต และตอนนี้อยู่ในตำแหน่งที่ดีกว่าในการปกป้องข้อมูลผู้ป่วยผ่านแนวทางการทำงานร่วมกันในการจัดการความเสี่ยง การพัฒนาเหล่านี้เป็นแนวทางในการก้าวไปข้างหน้า โดยลดความเสี่ยง เสริมสร้างจุดยืนด้านความปลอดภัยโดยรวมของเรา และให้การดูแลที่มีประสิทธิภาพอย่างต่อเนื่อง แม้ว่าภัยคุกคามและกฎระเบียบจะเปลี่ยนแปลงไปก็ตาม

ดูแหล่งที่มา

Leave a Reply

Your email address will not be published. Required fields are marked *