Perché la sicurezza informatica sanitaria è così sottofinanziata?

Jun 28, 2023

Tony Fyler

@more__hybrid

[email protected]

Il denaro è fondamentale per rendere nuovamente sicura l’assistenza sanitaria.

• L'importanza della sicurezza informatica sanitaria è spesso sottovalutata o fraintesa. • Per ottenere finanziamenti adeguati, è importante inquadrare le conversazioni sulla sicurezza informatica sanitaria in termini di rischio clinico. • Le organizzazioni sanitarie hanno superfici di sicurezza informatica incredibilmente piatte.

I servizi sanitari sono sempre più vulnerabili agli attacchi informatici. Nuovi attori, nuovi – o almeno recentemente ottimizzati – vettori di attacco e una nuova attenzione alle vulnerabilità sempre presenti stanno abbattendo qualsiasi resistenza etica da parte dei malintenzionati a prendere di mira luoghi destinati ad essere rifugi e centri di guarigione per le persone che non sono in grado di farlo. il loro meglio fisico.

Se esiste un Inferno, naturalmente, i malintenzionati che prendono di mira le strutture sanitarie con vulnerabilità nella sicurezza informatica, senza dubbio arrostiranno lì per l’eternità. Ma per le organizzazioni che non trovano conforto nell’idea di una punizione metafisica e ritardata, è importante fermare le macchinazioni di questi sprechi di pelle qui e ora.

Ci siamo rimessi in contatto con Deryck Mitchelson, Field CISO presso Check Point Research, un'organizzazione specializzata in sicurezza informatica con molta carne al fuoco quando si tratta di fermare tali attacchi informatici contro infrastrutture nazionali critiche.

Abbiamo parlato con Deryck in particolare perché, oltre ad essere un esperto di sicurezza informatica, ha lavorato per l'NHS Scotland del Regno Unito e quindi ha una specializzazione sia ampia che particolare nel campo della sicurezza informatica sanitaria.

Gli abbiamo chiesto perché, nel 2023, le persone continuano a prendere di mira le organizzazioni sanitarie.

THQ:

Abbiamo già parlato del motivo per cui il servizio sanitario nazionale del Regno Unito è particolarmente vulnerabile agli attacchi informatici, ma ora sta diventando una cosa più importante anche negli Stati Uniti. Dove pensiamo che la sicurezza informatica sanitaria si collochi sulla scala dell’urgenza e della vulnerabilità in termini, ad esempio, di investimenti governativi o organizzativi? In ordine di priorità di spesa delle autorità, da dove viene la protezione delle infrastrutture critiche dagli attacchi informatici?

DM:

Se chiedi a qualcuno, ti diranno che è una delle tre priorità principali. Assolutamente. Chiunque sia senior nel governo, chiunque sia senior nel settore sanitario, ti dirà che è una delle tre priorità principali.

Ma è una priorità da spuntare, non una vera priorità. Il motivo per cui dicono che è una priorità è perché in questo caso viene inserito nel registro dei rischi. Ciò significa che possono parlare ai loro consigli di amministrazione e dire: “Sì, qualcuno possiede questa priorità”. Tuttavia, se qualcuno poi prosegue dicendo che abbiamo bisogno di un sostanziale aumento degli investimenti per un programma pluriennale di sicurezza informatica sanitaria per fare questo e quest’altro, non trova i soldi.

Ciò significa che non è affatto una priorità. Ovviamente i soldi per le cose che sono le vere priorità si trovano sempre.

THQ:

È più o meno così che si definiscono le vere priorità, no? Cose per le quali dobbiamo e spendiamo soldi veri?

DM:

Esattamente. La sicurezza informatica sanitaria è una delle poche cose che si trova in cima al registro dei rischi come priorità che non viene adeguatamente finanziata.

Quindi sì, se non riceve i finanziamenti adeguati, se non riceve il livello di investimenti di cui ha bisogno, come può effettivamente avere quel livello di priorità? Perché altre cose che girano attorno ad esso, come la sostituzione di apparecchiature che sono alla fine della loro vita, ottengono denaro per gli investimenti.

Quando cercano di colmare eventuali carenze di personale, o di modificare i turni, o di attuare programmi di investimento di capitale, queste cose ottengono investimenti.

È difficile lamentarsi: so che queste cose forniscono assistenza sanitaria di prima linea. Ma quando ricoprivo il ruolo di CIO, il digitale e la sicurezza informatica ricoprivano un ruolo importante nel fornire assistenza in prima linea. Non sarebbe possibile fornire assistenza in prima linea senza i servizi digitali e informatici che consentono alle persone di farlo. Non puoi ottenerne uno senza l'altro.