医院向 CISA 致函：简化网络事件报告

美国医院协会 提高 对网络安全和基础设施安全局根据《关键基础设施网络事件报告法》提出的医院报告要求的担忧。

7 月 3 日，AHA 致信 CISA 主任 Jen Easterly，称针对医院提出的要求“与其他联邦机构的要求重复，并给医院带来了不必要的负担”。

3 月 27 日，CISA 为医疗机构提出了网络安全事件报告的新规则。根据该规则，医院和医疗系统必须在特定时间范围内向该机构报告任何涉及的网络事件、为应对勒索软件攻击而支付的赎金以及与先前提交的报告相关的任何重要新信息。

AHA 强调了该规则存在的几个问题，并敦促该机构做出几项修改，指出：

• 联邦机构需要确保数据保持匿名。
• 报告规则应该明确并适用于整个卫生部门，因为它们相互关联。
• 报告要求应该简化，因为它们给医院和卫生系统带来了沉重的负担和隐私风险。
• 应该更清楚地解释处罚及其适用时间。
• 惩罚过于严厉，尤其是当该组织成为恶意团体或民族国家攻击的受害者时。

AHA 要求该组织简化医院的报告负担并同意“统一”的报告流程。