Host

Apakah asuransi cyber merupakan investasi yang bagus? Apa yang harus diketahui oleh CISO dan CIO perawatan kesehatan

John Fowler deputy information security officer Henry Ford Health System


Setiap eksekutif perawatan kesehatan sekarang tahu bahwa penjahat dunia maya telah memfokuskan serangan keji mereka pada industri perawatan kesehatan selama beberapa waktu. Ketika mereka berhasil menyerang organisasi penyedia, hasilnya bisa menjadi bencana.

Inilah sebabnya mengapa banyak organisasi perawatan kesehatan berinvestasi dalam asuransi dunia maya.

Pikirkan asuransi cyber seperti asuransi mobil. Ketika sesuatu yang buruk terjadi, asuransi digunakan untuk mengganti biaya perbaikan kerusakan dan membuat Anda kembali ke jalan dengan cepat.

Asuransi siber dapat menjadi sangat penting bagi organisasi perawatan kesehatan karena upaya untuk pulih dengan cepat dari insiden keamanan adalah suatu keharusan untuk menghindari dampak yang parah pada kemampuan untuk mendiagnosis dan merawat pasien. Asuransi siber memberi organisasi yang terkena dampak sumber daya yang diperlukan untuk memulihkan operasi normal dengan cepat.

Untuk menawarkan pembaca pandangan yang lebih dalam tentang asuransi dunia maya, Berita IT Kesehatan duduk bersama John Fowler, wakil petugas keamanan informasi di Henry Ford Health System yang bergengsi di Detroit, untuk wawancara yang mencerahkan.

T: Bagaimana Anda menentukan berapa banyak cakupan asuransi cyber yang cukup?

SEBUAH: Itu adalah pertanyaan bijaksana yang seharusnya tidak dipertimbangkan oleh CISO dan CIO sendirian. Sebagai langkah pertama, perlu melibatkan dewan direksi dan anggota C-suite dalam diskusi tentang toleransi dan prioritas risiko. Salah satu pendekatan paling umum untuk menentukan jumlah pertanggungan asuransi cyber yang diperlukan adalah dengan membagi pendapatan tahunan dengan 365 (hari dalam setahun) dan mengalikan jumlah itu dengan jumlah hari yang diharapkan untuk pulih.

Sayangnya, ini bukan persamaan yang sepenuhnya akurat, jika mempertimbangkan: tuntutan pemerasan yang terus meningkat untuk infeksi ransomware, biaya respons pelanggaran dan pemberitahuan, denda perdata dan peraturan, dan biaya lainnya. Terlepas dari itu, mengukur risiko dunia maya penting untuk memastikan bahwa organisasi Anda tidak memiliki asuransi yang kurang.

T: Mengapa perusahaan asuransi dunia maya ingin tahu tentang program keamanan siber organisasi perawatan kesehatan sebelum menyetujui kebijakan?

SEBUAH: Setiap tahun, perusahaan asuransi akan mengajukan pertanyaan ekstensif tentang program keamanan siber organisasi untuk menilai postur risiko organisasi Anda dan untuk menetapkan premi. Penanggung akan menanyakan tentang segala hal mulai dari keterlibatan dewan direksi dan C-suite hingga keterlibatan karyawan, dari kerangka kerja keamanan siber hingga kematangan proses, dari teknologi keamanan hingga kontrol akses, dan insiden keamanan saat ini dan masa lalu.

Industri asuransi siber masih muda, dan tabel aktuaria relatif belum matang di ruang ini. Secara teori, semakin matang program keamanan siber Anda, semakin rendah tarif Anda.

Namun, karena ransomware dan jumlah pembayaran yang signifikan karena pelanggaran yang terjadi pada tahun lalu, premi meningkat, terlepas dari apa pun. Itu tidak berarti terus meningkatkan kematangan cybersecurity Anda tidak berharga, karena perbaikan apa pun akan membantu menjaga peningkatan seminimal mungkin.

Ingatlah, semakin aman Anda mengemudi, semakin baik tarif yang akan Anda dapatkan.

T: Apakah asuransi dunia maya akan membayar uang tebusan jika serangan ransomware berhasil? Mengapa atau mengapa tidak? Jika tidak, apa yang harus dilakukan oleh CISO dan CIO layanan kesehatan?

SEBUAH: Ya, itu akan membayar. Asuransi siber dapat mencakup ketentuan untuk membayar pemerasan akibat infeksi ransomware. Saat firma asuransi menilai postur risiko organisasi Anda, jangan heran jika ada pertanyaan tambahan terkait dengan postur pertahanan Anda khusus untuk pertahanan ransomware.

FBI telah lama menyatakan bahwa membayar tebusan tidak disarankan. Sementara debat “bayar atau tidak bayar” berlanjut, Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan AS menambahkan kerutan baru pada debat pada 1 Oktober 2020, ketika mengeluarkan peringatan terhadap organisasi yang membayar tebusan kepada entitas. yang termasuk dalam Daftar Warga Negara yang Ditunjuk Khusus dan Orang-Orang yang Diblokir.

Ini sekarang berarti bahwa selain membayar uang tebusan, organisasi Anda juga dapat dikenakan sanksi perdata yang signifikan. Penting untuk berdiskusi dengan firma asuransi Anda jika polis Anda mencakup penggantian uang tebusan yang dibayarkan kepada entitas yang ada dalam daftar sanksi OFAC.

CISO dan CIO perawatan kesehatan harus mempertimbangkan untuk menambahkan diskusi asuransi pelanggaran dunia maya ke skenario kesiapan meja keamanan mereka untuk menentukan apakah, bagaimana dan kapan harus melibatkan perusahaan asuransi.

Sebelum insiden keamanan, organisasi perawatan kesehatan harus memastikan bahwa kontrak pengikut respons insiden dan perjanjian rekanan bisnis (diwajibkan oleh HIPAA) diterapkan dengan vendor yang dapat memberikan respons insiden dan upaya pemulihan. Bekerja melalui pengaturan kontrak adalah hal terakhir yang ingin Anda lakukan selama krisis.

Asuransi cyber bukanlah polis untuk ditetapkan di rak dan hanya [to] gunakan saat dibutuhkan. Agar efektif, risiko perlu dipahami dan dikelola oleh CISO dan CIO yang berupaya mengelola risiko.

Indonesia: @Rumahsakitotak
Kirim email ke penulis: [email protected]
Healthcare IT News adalah publikasi HIMSS Media.


Author : Data Sdy