.jpeg)
Kuruluşlarının hedeflerine öncelik vermekten sorumlu liderler olarak yönetim kurulu üyeleri, siber güvenlik gündemini ilerletmelidir. Yine de yeni araştırmalar, hasta güvenliği ve bakımı üzerindeki potansiyel olarak ciddi sonuçlara rağmen, sağlık kurullarının siber güvenliği bir öncelik haline getirme ve siber riskleri anlama konusunda emsallerinin çok gerisinde olduğunu gösteriyor.
“Siber güvenlik: 2022 Yönetim Kurulu PerspektifiMIT Sloan’da Proofpoint ve Siber Güvenlik tarafından hazırlanan yeni bir küresel rapor, siber güvenliğin sağlık kurullarının ajandalarında diğer sektörlere kıyasla çok daha düşük olduğunu ortaya koydu. Sağlık müdürlerinin %59’u aynı fikirde.
Rapor ayrıca, sağlık hizmetleri toplantı odalarının yalnızca %61’inin konuyu en az ayda bir tartıştığını (tüm sektörlerde %75’e karşılık) ve yalnızca %64’ünün siber güvenliğe yeterli yatırım yaptıklarına inandığını (tüm sektörler için %76’ya karşı) buldu.
Gelecek de bir o kadar kasvetli görünüyor. Katılımcıların %87’si önümüzdeki 12 ayda siber güvenlik bütçelerinin artmasını beklerken, sağlık kurulu üyelerinin yalnızca %77’si bu inancı paylaşıyor.
Sağlık Kurullarının Siber Risklere Daha İyi Odaklanması Gerekiyor
Bu bulguları daha endişe verici kılan şey, sağlık kurullarının siber hazırlık konusundaki görüşleri ile diğer kurulların duyguları arasındaki zıtlıktır. Daha düşük siber önceliklerine rağmen, sağlık kurulları çok daha iyimser. Yalnızca %50’si kuruluşlarının önümüzdeki 12 ay içinde maddi bir siber saldırı riski altında olduğuna inanıyor (sektörler genelinde %65’e kıyasla) ve yalnızca %43’ü kuruluşlarının hedefli bir siber saldırıyla başa çıkmak için hazırlıksız olduğunu düşünüyor (tüm kohortlar için %47 ile karşılaştırıldığında) ).
Sağlık direktörlerinin yersiz güvenlerinin ardındaki sebeplerden biri, siber güvenlik anlayışı ve uzmanlığından yoksun olmalarıdır – emsallerinin gerisinde kaldıkları başka bir alan. Tüm sektörlerde, anket katılımcılarının %85’i yönetim kurullarının sistemik riski anladığına inanıyor, ancak sağlık hizmetleri müdürlerinin yalnızca %61’i aynı fikirde. Ayrıca, daha az sayıda sağlık kuruluşunun yönetim kurullarında uzmanlar (%68’e karşı %73) ve bir siber olaya müdahale etmek için yeterli eğitim (%59’a karşı %74) bulunuyor.
Yöneticilerin siber risklere ilişkin anlayışlarındaki boşluk göz önüne alındığında, rehberlik için baş bilgi güvenliği görevlilerine (CISO’lar) bakmaları anlaşılabilir. Ancak rapor bulguları bunun doğru olmadığını gösteriyor. Tüm sektörlerde bu oran %73’e kıyasla, sağlık yönetim kurulu odalarının yalnızca %57’si CISO’lar veya diğer siber güvenlik uzmanlarından düzenli sunumlar alıyor. Sağlık kurulu üyelerinin yüzde yirmi üçü, CISO’larını yalnızca bir siber güvenlik raporu hazırlamak için kurulun huzuruna çıktıklarında görüyor.
Board-CISO İlerlemenin Önündeki Engeli Aşın
Sektörümüz, yönetim kurulları ve CISO’lar arasındaki iletişim boşluğunun gayet iyi farkındadır. Kurullar yıllarca siber güvenliğe çok az ilgi gösterdiler ve onu bir iş sorunu olmaktan çok bir BT sorunu olarak gördüler. Bugün, fidye yazılımı gibi artan tehditlerle ilgili artan tanıtım sayesinde, nihayet siber güvenliğin yönetim kurulu düzeyine yükseldiğini görüyoruz.
Ancak bu artan farkındalık, kurullar ve güvenlik liderleri arasındaki gerilimin henüz çözülmesiyle sonuçlanmadı. Anket, dünya çapındaki yöneticilerin %31’inin hala CISO’larıyla aynı fikirde olmadığını ve daha da fazla sağlık direktörünün (%41) bu kampa katıldığını ortaya koydu. İki taraf birbirini çok fazla tanımıyor, sevmiyor ve hatta görmüyorsa, öncelikler üzerinde nasıl anlaşabilir ve kuruluşlarının güvenlik duruşunu nasıl geliştirebilirler?
Bu uçurum, sağlık hizmetlerinde siber tehditlerin ve hasta riskinin boyutu göz önüne alındığında özellikle endişe vericidir. A Sağlık tehditlerine ilişkin Ponemon Enstitüsü raporu Bu yılın başlarında, ankete katılan kuruluşların %89’unun son 12 ayda ortalama 43 saldırı yaşadığı tespit edildi. Fidye yazılımı ve bulut güvenliği ihlali gibi saldırılara maruz kalanların %20’si hasta ölüm oranında artış görürken, %57’si testlerdeki veya prosedürlerdeki gecikmeler nedeniyle kötü hasta sonuçları gördü. Siber güvenlik ile hasta refahı arasında net bir bağlantı var, ancak sağlık sektörü genellikle bunu ciddiye almıyor.