为了使医疗保健组织在减轻对医疗保健部门的重要网络安全威胁方面趋于一致,卫生部&人类服务部(HHS)发布了有关医疗机构降低网络安全风险的最佳实践的多个指导文件(“ HHS 网络指南”)。 HHS 网络指南是HHS与150多位网络安全和医疗保健专家建立的公私合作关系的产物。尽管遵守是自愿的,但本指南可为医疗机构提供重要实践指导,应考虑并实施这些重要实践以降低风险。

为什么HHS发布了此指南

在2015年,美国国会在其第405(d)节中呼吁“调整医疗保健行业的安全方法” 2015年《网络安全法》 (CSA)。结果,成立了405(d)任务组,将医疗保健和网络安全行业的私人成员与政府机构的代表召集在一起。从2017年5月开始,工作组专注于建立自愿,基于共识的原则和实践框架,以使医疗机构更好地了解网络安全风险和缓解策略。 HHS 网络指南指出,网络攻击正变得越来越复杂和广泛,对医疗保健组织的网络攻击可能影响关键功能并暴露患者健康信息,并可能导致巨额财务成本和潜在的患者安全风险。

HHS 指出,网络安全越来越成为医疗保健组织的头等大事。该出版物指出,美国五分之四的医生都经历过某种形式的网络安全攻击,目前违反医疗记录的费用为每条记录408美元,是所有行业中最高的。如果医疗保健组织成为网络攻击的受害者,他们将蒙受巨大损失–例如,最近的勒索软件攻击使医院损失了17,000美元,并在黑客冻结了所有计算机系统后进行了操作控制,通过要求医院转移来有效地停止了所有医疗保健的提供所有患者均求助于纸质病历。数据泄露后,医疗保健组织可能会受到监管实施措施的制裁,或者可能完全失去其电子病历系统。

该指南标志着机构继续将重点放在对医疗保健组织的网络安全威胁上,并关注改善医疗保健提供中的安全性。去年,FDA提出了有关 上市后管理 医疗设备的网络安全,以及针对以下方面的指南: 上市前审查.

HHS 网络指南中的内容

HHS 网络指南包括一份针对各种规模的医疗机构的概述文件,标题为 卫生行业网络安全实践:管理威胁和保护患者 (HICP)。 HCIP确定了“五个最相关的,当前的行业威胁”,并提供了与NIST网络安全框架一致的网络安全实践建议。为IT和/或IT安全专业人员准备的两个技术卷为 , 大中型 医疗保健组织,以发展强有力的网络安全实践。该出版物还包括最终用户可以参考的资源和模板。尚未发布“网络安全实践评估工具包”,但有兴趣的利益相关者可以索取预先的副本。

威胁与缓解措施

HICP文件确定了五种“与行业最相关和当前的威胁”:

  • 电子邮件网络钓鱼攻击
  • 勒索软件攻击
  • 设备或数据丢失或被盗
  • 内部,意外或故意数据丢失
  • 对连接的医疗设备的攻击可能会影响患者的安全

作为回应,任务组概述了与NIST网络安全框架一致的网络安全实践建议。 NIST框架使用事件生命周期的典型阶段记录了实体在网络事件期间应采用的做法。 NIST的实践属于以下五个阶段之一:识别,保护,检测,响应和恢复。

该文档进一步提供了十项实践建议,以及88项子实践。十项实践建议包括:

  • 电子邮件保护系统
  • 端点保护系统
  • 访问管理
  • 数据保护和防止丢失
  • 资产管理
  • 网络管理
  • 漏洞管理
  • 事件响应
  • 医疗设备安全
  • 网络安全政策

对组织应实施的子实践数量的建议取决于组织的属性和规模。建议小型医疗保健组织实施19项或以上子实践,中型组织36项或以上,大型组织应尝试实施全部88项。工作组承认组织在实施实践中可能面临的困难,但提供了步骤资源文档中的逐步威胁评估工具,以使医疗保健组织能够识别它们最容易受到威胁的威胁。

工作组指出,解决所有威胁或缓解措施是不可行的,该出版物是反复进行的第一步。随着新威胁和技术的出现,预计将需要向医疗保健组织提供最新信息,以防范未来的网络威胁。 HHS 计划在接下来的几个月中与利益相关者合作,以协助实施这些实践;但是,副秘书长埃里克·哈根(Eric Hargan)指出,HHS将继续与业界合作以应对网络安全挑战,并要求有兴趣加入405(d)任务组的任何人通过[email protected]与该团队联系。

卫生保健组织应审查指南,并有机会讨论任务组的建议,并确定实施网络安全实践的下一步。有关更多信息,请联系Jodi Daniel([email protected])。