По его словам, когда организация проходит такие этапы, как сертификация HITRUST, эта информация передается страховой компании и становится частью расчета премий UPMC.
«Особенно за последние несколько лет я стал свидетелем того, как они задавали более подробные вопросы о том, что мы делаем в конкретных областях, включая шифрование и сертификацию. Они запрашивают много информации, которая поможет им обработать и оценить наш профиль рисков», — говорит он. «И, очевидно, страховые взносы выросли».
Позиционирование организаций здравоохранения для киберстрахования
Кармоди говорит, что подготовка к киберстрахованию начинается с того, что ИТ-руководители обеспечивают строгую техническую гигиену и могут продемонстрировать защитные способности с помощью сертификатов, включая HITRUST и SOC 2.
«Организациям также следует подумать о привлечении независимой третьей стороны, которая может оценить риски и внести свой вклад в позиционирование организации для получения страховки от киберугроз», — говорит он.
Алла Валенте, старший аналитик Forrester, обслуживающий специалистов по безопасности и рискам, отмечает, что организации здравоохранения должны увеличить свои инвестиции в кибербезопасность и управление рисками, чтобы обеспечить себе хорошие позиции при подаче заявления на киберстрахование.
«Долгое время медицинские организации уделяли особое внимание соблюдению требований, особенно HIPAA, — говорит она. «То, что мы знаем сейчас, после пандемии и увеличения числа кибератак, специально направленных на здравоохранение, заключается в том, что вы можете полностью соответствовать требованиям и по-прежнему подвергаться большому риску кибер-рисков».
ЧИТАТЬ ДАЛЕЕ: Что растущий федеральный контроль кибербезопасности здравоохранения означает для организаций.
Валенте предупреждает, что организации не могут полагаться только на соответствие HIPAA; они должны начать анализировать, как они защищают свои технологии и инфраструктуру и как они работают с третьими сторонами.
«Выполняют ли они тип сегментации, когда третьи стороны получают доступ только к тому, что им нужно для выполнения этого проекта, или есть лазейки, которые могут дать им доступ к чему-то гораздо большему?» она спрашивает.
Кармоди объясняет, что в UPMC есть директор по управлению рисками, который помогает оценивать некоторые компоненты с точки зрения рисков.
«Если вы начинаете с нуля, поговорите со многими поставщиками услуг по страхованию кибербезопасности, потому что все они немного отличаются друг от друга, — говорит Кармоди. «Важно обратить внимание на эти детали покрытия перед регистрацией, потому что вы можете не получить нужное покрытие, необходимое для вашей организации».
Преимущества киберстрахования перевешивают затраты
Дэниел Кляйн, коммерческий директор Cynet, говорит, что трудно выступить против киберстрахования, учитывая среднюю стоимость взлома для организаций здравоохранения в размере 10 миллионов долларов.
«Непосредственным преимуществом получения полиса страхования от киберугроз является то, что состояние безопасности организации будет улучшено в соответствии с требованиями страховщика», — говорит он. «Да, это может означать инвестиции в дополнительный персонал службы безопасности и более совершенные инструменты, но в результате общий риск будет снижен».
Он признает, что стоимость полиса является важным фактором, но говорит, что хорошей новостью для организаций здравоохранения является то, что возможности киберстрахования увеличились за последние 12–18 месяцев, поэтому у них должно быть больше вариантов при покупке полиса.
«Очевидно, что отрасли выгодно, если больше организаций могут позволить себе страхование, поэтому страховщики и брокеры также предлагают полезные рекомендации», — говорит Кляйн.
ИССЛЕДОВАТЬ: Поймите важность повышения киберустойчивости здравоохранения.
Эти усилия включают в себя публикацию информации и участие в мероприятиях, направленных на информирование потенциальных клиентов о повышении их уровня безопасности и получении более низких премий.
«Если организация впервые занимается киберстрахованием, возможно, стоит поработать с квалифицированным брокером или другим экспертом, который может дать честную оценку текущего состояния безопасности, чтобы выявить любые пробелы», — добавляет он.
Валенте также отмечает, что некоторые фирмы по киберстрахованию сотрудничают с адвокатами и специалистами по реагированию на инциденты, чтобы помочь с аудитом и предоставить дополнительные услуги для организаций здравоохранения.
«Участие в этой коллективной сети позволяет вам воспользоваться преимуществами всех этих других специалистов, которые могут вам понадобиться, когда вы имеете дело с нарушением», — говорит она.
