针对政府和医院的 13 条网络安全建议
作为解决医疗保健行业高水平网络安全犯罪的起点,民主防御基金会向行政部门、国会和医疗保健生态系统提出了强有力的建议。尽管新报告强调增加第三方管理的 IT 服务(即使是资源不足的提供商组织的兼职服务)和增加员工网络卫生培训,但民主防御基金会的大多数建议都是针对政府的。 “美国人民的健康和福利取决于此,”作者在新报告中表示。 为何重要 FDD 在《医疗网络安全需要检查》报告中概述了政府和行业为防止医疗网络攻击所做的努力。事实证明,勒索软件攻击对服务破坏性最大,会冻结提供商的系统并窃取受保护的健康信息,但其后果并不总是很明显。 报告作者迈克尔·萨格登 (Michael Sugden) 和安妮·菲克斯勒 (Annie Fixler) 表示,针对这些事件之后的患者伤害的研究“可能低估了人员伤亡”。 在里面 报告他们的目标是引导关键行业走向更具抗攻击能力的未来,并强调服务于约 14% 美国人口的乡村医院面临的独特挑战。 他们表示:“这些医院的预算往往非常紧张,50% 的农村医院处于亏损状态。”因此,它们在预防或应对勒索软件攻击方面准备不足。 行政部门必须采取行动,更新该行业的战略。 萨格登和菲克斯勒表示:“提供路线图以确保关键的救生服务,纳入利益相关者对网络安全目标的反馈,并解决农村网络安全劳动力缺口问题。” “解决当前差距的办法不是通过合规寻求网络安全的被动监管。相反,该行业需要采取积极主动的协作方式,”他们补充道。 他们对政府的建议包括: 制定新的、长期的特定行业网络安全目标。 与业界合作,确定、优先考虑和确保救生服务。 不断更新网络安全绩效目标。 加速CPG合规激励计划的时间表。 打造农村医院网络安全队伍发展战略 重新评估系统重要性实体名单 建议政府重新评估 SIE 名单,在一定程度上是对 Change Healthcare 今年遭受的连锁网络攻击的反应。 作者还表示,该行业“必须在网络安全方面投入更多,包括适当配置安全团队、实施全组织网络卫生培训以及制定破坏性网络攻击的应急响应计划”。 虽然医疗保健提供商“必须确保拨出资金”来预防和应对网络事件,但许多资源不足的医院缺乏资金。为此,FDD 报告建议资源匮乏的提供商聘请网络安全资源,或聘请兼职网络安全人员,或许可以利用托管 IT 服务提供商。 他们对该行业的建议是: 在网络安全上投入更多。 为所有员工提供网络卫生培训。 为医疗保健提供者制定区域应急计划。 萨格登和菲克斯勒强调了员工网络安全培训的重要性,因为网络钓鱼仍然是最常见的攻击方式,并且随着大型语言模型的广泛使用,这种培训也获得了显著的帮助。他们指出,存在“免费或相对便宜”的程序,可以“防止可能让服务提供商损失数百万美元或危及患者生命或隐私的攻击”。 他们敦促国会为相关行政机构和项目提供资金,以更好地支持该行业,并指出美国卫生与公众服务部要求增加资源来扩大其在事件响应和缓解方面的劳动力和能力。 今年 3 月,美国卫生与公众服务部(HHS)负责关键基础设施保护的战略防范与响应管理局请求在 2025 财年额外拨款 500 万美元,以满足劳动力需求。 FDD […]