AHA 对网络安全标准的处罚表示担忧
照片:林伟权/盖蒂图片社 在一个 陈述 美国医院协会向能源和商业委员会健康小组委员会表示,它担心未达到拜登政府网络安全标准的医院和其他医疗机构可能受到的处罚。 该医院集团表示,医院和卫生系统并不是医疗保健行业面临的网络风险的主要来源。 对 2023 年主要数据泄露事件的内部审查显示,超过 95% 的最重大的卫生部门数据泄露事件(定义为暴露超过 100 万条记录的数据泄露事件)与“业务伙伴”和其他非医院医疗保健实体有关,其中包括医疗保险和医疗补助服务中心,该中心的泄露事件被列为去年 20 名最大的数据泄露事件。 美国心脏协会表示,它支持基于自愿共识的网络安全实践,例如 宣布 一月份由卫生与公众服务部提出,因为性能目标旨在防御常见的网络攻击策略,例如利用已知的技术漏洞、网络钓鱼电子邮件和被盗凭证。 拜登总统的 2025 财年预算建议对未达到政府定义的基本网络安全实践的医院和卫生系统实施新的处罚。 从 2029 财年开始,政府建议强制采用基本做法,未能达到这些标准的医院将面临高达年度市场篮子增量 100% 的处罚,并且从 2031 财年开始,可能会受到高达 1% 折扣的额外处罚基本付款。 未能采取必要措施的关键医院将面临最高 1% 的减费,但罚款总额是有上限的。 美国心脏协会表示,虽然它再加上旨在帮助医院防御网络攻击的资金,但每家医院的收益将极其有限。 美国心脏协会写道:“美国心脏协会反对对医院征收强制性网络安全要求的提议,就好像医院对黑客成功实施犯罪负有过错一样。” “目前医疗保健领域网络安全风险的来源有据可查,包括 改变医疗保健网络攻击,是来自第三方技术的漏洞,而不是医院的主要系统。” 美国心脏协会认为,罚款或削减医疗保险付款将减少医院打击网络犯罪所需的资源。 有什么影响? 该组织表示,为了在网络犯罪方面取得有意义的进展,国会应该关注整个医疗保健部门,而不仅仅是医院。 为此,它认为国会应该部署强大且持续的进攻性网络战略来应对持续的威胁。 美国心脏协会写道:“医疗保健是最重要的基础设施部门,直接影响公共健康和安全,必须受到保护。” “对医疗保健部门的任何网络攻击如果扰乱或延误患者护理,都会对患者安全构成风险,并跨越经济犯罪到威胁生命犯罪的界限。联邦政府应积极追查和起诉这些攻击”。 该组织表示,对网络对手施加迅速和一定的后果对于减少网络威胁至关重要,网络对手通常在不合作的外国司法管辖区提供安全港。 它称拜登2025财年预算中的网络安全提案“被误导”,并表示征收或削减医疗保险付款只会削弱医疗保健部门的集体网络防御能力。 美国心脏协会认为,该提案中的处罚措施将耗尽打击网络犯罪所需的资源。 该组织写道:“为了在打击网络犯罪的斗争中取得有意义的进展,美国心脏协会敦促国会制定解决整个行业网络安全问题的政策,而不是强迫医院承担其控制范围之外的系统的责任。” 更大的趋势 Change Healthcare 网络攻击引发了人们对医疗保健领域网络犯罪话题的强烈关注,预计将 联合健康集团损失 10 亿至 15 亿美元 […]