CISA 发布高风险非营利组织指南

网络安全和基础设施安全局发布 新指导 帮助高风险非营利组织和其他资源有限的社区组织提高对减轻网络威胁的理解和努力。

但即将到来的 2024 年选举可能会对 CISA 更广泛的努力产生巨大影响，包括最近完成的全国数据保护网络演习，以解决多个关键部门的安全缺陷，主任 Jen Easterly 上周向参议院报告。

为什么它很重要

由于包括某些医疗保健组织在内的民间社会组织对社会工程尝试和其他常见网络威胁“准备不足且容易受到攻击”，CISA 与人合着了《利用有限资源缓解网络威胁：民间社会指南》，于 5 月 14 日发布。

通过汇编最佳实践，CISA 及其国家和国际执法和安全机构合著者希望帮助那些容易依赖不安全通信渠道且防御能力较低的民间社会组织。

他们表示：“这些组织缺乏内部 IT 支持和必要的网络卫生来防止恶意活动的可能性（例如生命周期管理、补丁管理、多因素身份验证、密码管理）。”

针对这些易受攻击的组织的建议行动和缓解措施链接到 CISA 课程和其他资源，例如 Access Now 的 数字安全帮助热线，以九种语言为民间组织提供 24/7 全天候支持。 据该“从草根到全球”组织的网站称，它会在两小时内做出回应。

然而，为了进一步保护脆弱和高风险社区免受网络攻击，这些机构还建议供应商公开承诺采用安全设计实践。

“这一承诺需要拥抱“设计安全”原则，包括（1）对客户安全结果承担责任，（2）拥抱彻底的透明度和坚定不移的问责制，以及（3）从高层领导并实施自上而下的领导力，以推动旨在实现以下目标的变革：在软件开发和部署的每个阶段都优先考虑安全性，”CISA 及其合著者在新的报告中表示 指导。

他们建议软件供应商努力消除产品漏洞，默认启用多因素身份验证，向客户报告可疑的网络行为并对不安全的配置设置警报。

除了支持资源匮乏的弱势组织外，CISA 还一直忙于关注关键部门中资源较好的组织。

上个月，该机构举行了“网络风暴 IX”全国网络准备演习，让 2,200 多名参与者有机会测试他们对云资源网络攻击的响应。 定期的国家顶点网络演习将公共和私营部门聚集在一起，模拟并报告对影响国家关键基础设施的网络危机的响应情况。

参与者 之前的练习 2020 年和 2022 年的合作伙伴包括克利夫兰诊所、HCA Healthcare 和堪萨斯大学健康系统等提供商，Nuance、西门子和思科等健康 IT 供应商，CrowdStrike 等安全公司以及 HHS 和健康信息共享与分析中心等协调实体。

Easterly 在 5 月 16 日的报告中表示，今年的演习“重点是对手利用云环境的常见错误配置，对数据机密性、完整性和可用性造成各种影响”。 事件回顾。

尽管医疗保健行业目前正受到各种勒索软件组织的围攻，这些勒索软件组织希望从重大系统中断中获利，例如令人衰弱的 ALPHV 网络攻击，要求母公司 UnitedHealth Group 重建具有基于云的安全性的 Change Healthcare 系统，以及假定的 Black Basta 勒索软件攻击非2024 年利润提升为该机构带来了另一个需要清除的网络安全障碍。

伊斯特利在 5 月 15 日举行的关于外国对即将举行的选举的威胁的听证会上告​​诉参议院情报特别委员会，虽然美国选举网络环境比以往任何时候都更加安全，但“今天的威胁环境比以往任何时候都更加复杂。”

“我们不能自满，”她在她的演讲中说道。 开幕词，并指出“CISA 正在比以往更多的司法管辖区提供更多服务。”

大趋势

多年来的重大违规行为导致了长期的护理中断和转移，使患者面临风险，迫使政府采取行动。

去年发布国家网络安全战略后，美国卫生与公众服务部概述了其医疗保健网络安全战略，但遭到美国医院协会和其他团体的一些反对。

除了新的自愿网络安全绩效目标外，美国卫生与公众服务部表示，将与国会合作制定激励措施，以提高国内医院的网络安全绩效，并要求医疗保健部门承担更多责任并进行协调。

在周四致美国卫生与公众服务部部长泽维尔·贝塞拉的一封信中，电子数据交换工作组呼吁联邦政府设立一个由新的“网络政策沙皇”领导的国家网络安全政策办公室，并提出了其他几项建议来帮助协调并领导国家网络响应

WEDI 要求 HHS 和其他联邦机构采取更多措施，通过确保信息交换能力来帮助卫生系统维持运行并减轻成功网络攻击的后果。

除了 CISA 和 HHS 的努力之外，网络和新兴技术副国家安全顾问 Anne Neuberger 还通过多个联邦机构关注医疗保健网络安全。

本月早些时候，医疗保健领导委员会会见了副国家安全顾问，进行了非正式的网络安全讨论。

该委员会在一份声明中表示：“我们赞赏纽伯格女士的坦率以及在这一关键优先事项上与医疗保健领导人合作的意愿，并期待与政府合作，增强医疗保健行业的弹性并促进患者安全。” 网上声明。

记录在案

“本指南以及 [HHS] 网络安全绩效目标可以帮助资源匮乏的医院优先考虑网络安全实践并制定实施路线图，”AHA 网络安全和风险国家顾问 John Riggi 在一份报告中表示。 陈述。

Andrea Fox 是《医疗保健 IT 新闻》的高级编辑。
电子邮件：[email protected]
医疗保健 IT 新闻是 HIMSS 媒体出版物。