针对政府和医院的 13 条网络安全建议

作为解决医疗保健行业高水平网络安全犯罪的起点，民主防御基金会向行政部门、国会和医疗保健生态系统提出了强有力的建议。尽管新报告强调增加第三方管理的 IT 服务（即使是资源不足的提供商组织的兼职服务）和增加员工网络卫生培训，但民主防御基金会的大多数建议都是针对政府的。

“美国人民的健康和福利取决于此，”作者在新报告中表示。

为何重要

FDD 在《医疗网络安全需要检查》报告中概述了政府和行业为防止医疗网络攻击所做的努力。事实证明，勒索软件攻击对服务破坏性最大，会冻结提供商的系统并窃取受保护的健康信息，但其后果并不总是很明显。

报告作者迈克尔·萨格登 (Michael Sugden) 和安妮·菲克斯勒 (Annie Fixler) 表示，针对这些事件之后的患者伤害的研究“可能低估了人员伤亡”。

在里面 报告他们的目标是引导关键行业走向更具抗攻击能力的未来，并强调服务于约 14% 美国人口的乡村医院面临的独特挑战。

他们表示：“这些医院的预算往往非常紧张，50% 的农村医院处于亏损状态。”因此，它们在预防或应对勒索软件攻击方面准备不足。

行政部门必须采取行动，更新该行业的战略。

萨格登和菲克斯勒表示：“提供路线图以确保关键的救生服务，纳入利益相关者对网络安全目标的反馈，并解决农村网络安全劳动力缺口问题。”

“解决当前差距的办法不是通过合规寻求网络安全的被动监管。相反，该行业需要采取积极主动的协作方式，”他们补充道。

他们对政府的建议包括：

• 制定新的、长期的特定行业网络安全目标。
• 与业界合作，确定、优先考虑和确保救生服务。
• 不断更新网络安全绩效目标。
• 加速CPG合规激励计划的时间表。
• 打造农村医院网络安全队伍发展战略
• 重新评估系统重要性实体名单

建议政府重新评估 SIE 名单，在一定程度上是对 Change Healthcare 今年遭受的连锁网络攻击的反应。

作者还表示，该行业“必须在网络安全方面投入更多，包括适当配置安全团队、实施全组织网络卫生培训以及制定破坏性网络攻击的应急响应计划”。

虽然医疗保健提供商“必须确保拨出资金”来预防和应对网络事件，但许多资源不足的医院缺乏资金。为此，FDD 报告建议资源匮乏的提供商聘请网络安全资源，或聘请兼职网络安全人员，或许可以利用托管 IT 服务提供商。

他们对该行业的建议是：

• 在网络安全上投入更多。
• 为所有员工提供网络卫生培训。
• 为医疗保健提供者制定区域应急计划。

萨格登和菲克斯勒强调了员工网络安全培训的重要性，因为网络钓鱼仍然是最常见的攻击方式，并且随着大型语言模型的广泛使用，这种培训也获得了显著的帮助。他们指出，存在“免费或相对便宜”的程序，可以“防止可能让服务提供商损失数百万美元或危及患者生命或隐私的攻击”。

他们敦促国会为相关行政机构和项目提供资金，以更好地支持该行业，并指出美国卫生与公众服务部要求增加资源来扩大其在事件响应和缓解方面的劳动力和能力。

今年 3 月，美国卫生与公众服务部（HHS）负责关键基础设施保护的战略防范与响应管理局请求在 2025 财年额外拨款 500 万美元，以满足劳动力需求。

FDD 研究人员表示：“国会批准这一请求至关重要。”

对国会的建议是：

• 确保行业风险管理机构资源和组织结构达到最佳效率。
• 增加对 HHS SRMA 能力的资金投入。
• 资助 HHS 的 CPG 资源和激励计划。
• 指导和资源卫生与公众服务部建立农村虚拟首席信息安全官试点计划。

大趋势

根据 2022 年 Ponemon 研究所和 Proofpoint 的一项研究发现，医院网络攻击与患者死亡率之间存在直接联系，超过 20% 的医疗保健组织在遭受勒索软件或其他类型的网络攻击后死亡率有所上升。

Proofpoint 医疗网络安全负责人瑞安·维特 (Ryan Witt) 在研究发布时发表声明称：“医疗保健在应对日益增多的网络安全攻击方面一贯落后于其他行业，这种不作为对患者的安全和健康产生了直接的负面影响。”

12 月，当美国卫生与公众服务部 (HHS) 呼吁对医院提出新的网络安全要求并概述自愿 CPG 时，它承诺与国会合作，为国内医院提供资金和激励措施，以改善其网络安全。

然而，卫生与公众服务部在政策声明中表示，“单靠资金和自愿目标无法推动整个医疗保健行业所需的网络相关行为改变”。

卫生与公众服务部表示，通过制定可执行的网络安全标准并加强其作用，它还将“通过对医院施加财务后果来执行新的网络安全要求”，但医疗机构领导人和美国医院协会对此表示反对。

AHA 总裁兼首席执行官 Rick Pollack 表示：“击败这些黑客需要联邦政府的专业知识和权威。” 医疗保健 IT 新闻 当 HHS 发布政策文件时。

记录在案

FDD 的作者表示：“联邦政府应该通过 HSS 开展广泛的公私合作，以加强医疗保健提供商的网络弹性并保护其服务对象的健康和安全。”

Andrea Fox 是医疗保健 IT 新闻的高级编辑。
电子邮件: [email protected]
医疗保健 IT 新闻是 HIMSS 媒体出版物。