新的研究德克薩斯州奧斯汀的軟件建議重點介紹了醫療保健提供商網絡安全方面的差距,這使患者在違規過程中面臨風險。這是有爭議的衛生基礎設施安全與問責制法(HISAA)在美國參議院繼續辯論。
該法案將通過要求採用最低網絡安全標準並面臨年度審計來為醫院和其他醫療保健業務創造“嚴重問責”。
該立法是對2024年2月對變更醫療保健的勒索軟件攻擊(一家聯合醫療子公司)的直接回應,該攻擊暴露了高達1.1億個人的受保護的健康和其他個人身份信息(PII)。
該黑客在全國范圍內嚴重破壞了該行業。
該法案保留在參議院財政委員會中,目前尚不清楚該法案是否將在國會押後會議之前向全部參議院進行投票。
房子裡沒有具體的伴侶賬單,但是有2024年健康公平與問責制法,這沒有直至Hisaa。它的確包含與在聯邦進行或支持的醫療保健或公共衛生計劃以及州衛生和社會服務機構之間開發互操作性和安全系統有關的互操作性和安全系統有關的規定。它還將加強數據收集,改進數據分析並擴展數據報告。
軟件建議的副首席分析師麗莎·莫里斯(Lisa Morris)週一表示:“坦率地說,……在三分之一沒有或沒有意識到的醫療實踐中,有一個網絡安全事件響應計劃已經制定了。我們最近的研究表明,我們的大多數醫療實踐表明,大多數醫療實踐確實有一個響應計劃,但是這些數字不適合這些範圍的範圍,使這些態度不可能保持健康。 (HIPAA)在網絡攻擊時違規,罰款,甚至是患者的訴訟。”
HIPAA保護個人健康信息(PHI)。違反暴露於HIPAA保護患者記錄的IT系統可能會導致認證的喪失,並加重懲罰罰款,這些罰款是由於勒索軟件攻擊而必須支付的任何款項醫療保健提供者,以恢復被盜的數據。
上週,Clearwater首席執行官Steve Cagle寫在首席醫療保健主管HISAA“是解決紀念性網絡安全挑戰醫療部門面臨的邁出的一大步”,並補充說:“雖然我們可以辯論該法案中的具體建議是否是推動變革的最佳提案,但鼓勵立法者看到許多醫療組織採取行動來解決許多醫療機構在網絡機構控制和風險管理習慣方面的差距。”
Cagle說:“醫療保健提供者及其業務夥伴(包括數字健康和健康IT公司)必須確保他們計劃創建,接收,接收,傳輸或存儲患者的信息。符合網絡安全標準減少違規和勒索軟件攻擊的數量至關重要。該法案的目的是這樣做。 ”
cagle說博客文章“儘管[醫療保健]部門中有許多已經實施了公認的標準,但具有規定的標準將有助於確保每個人都按照相同的規則進行比賽。”他補充說:“該法案似乎認識到重要性,包括醫療保健生態系統中的所有利益相關者,因為它指的是涵蓋的實體和商業夥伴(在HIPAA下定義),並且沒有像我們看到其他網絡安全計劃那樣挑剔醫院。”
當Sens。 RonWyden和Mark Warner介紹Hisaa時,Wyden說,該法案是必要的,因為“像UnitedHealth這樣的MegAcorporations正在使網絡安全101,因此美國家庭遭受了苦難。”
懷登說:“儘管醫療保健行業對美國人的福祉和隱私至關重要,但美國的網絡安全做法是全國最糟糕的。” “這些常識性改革,包括對政府對其網絡安全撒謊的首席執行官的入獄時間,將為全國醫療保健公司之間的網絡安全設定課程,並阻止網絡攻擊的潮流,這些網絡攻擊可能會削弱美國的醫療保健系統。”
一個事實說明書關於該法案的規定,“醫療保健在任何联邦受監管的行業中都有一些最弱的網絡安全規則。沒有強制性的網絡安全標準和十億美元的大型公司面臨寬鬆的網絡安全罰款。”
懷登補充說:“衛生與公共服務部(HHS)尚未獲得適當的資助,以作為節拍的有效警察 - 自2017年以來,它一直沒有進行網絡安全審計,也沒有根據HIPAA安全規則發布更新的法規。”
HHS民權辦公室漏洞門戶僅今年僅列出了近400個大數據洩露,這些數據歸因於黑客/IT事件影響了4300萬個人。根據HHS Records,在2023年,涉及超過1.51億個人的醫療保健記錄有602個數據洩露。
該門戶網站確定了過去24個月報告的所有違規行為,這些違規行為目前正在接受民權辦公室的調查。 《 2009年《經濟與臨床健康法》的《健康信息技術》第13402(e)(4)條要求HHS秘書發布違反影響500人或更多個人的無安全保護健康信息的列表。
HHS表示它支持HISAA。副秘書安德里亞·帕爾姆(Andrea Palm)說,她“感謝威登參議員和沃納參議員的領導,並期待繼續共同努力,以增強整個整個醫療保健生態系統的網絡彈性。”
帕爾說:“網絡安全仍然是我們的衛生保健生態系統中不斷發展的挑戰,必須做更多的事情來防止網絡攻擊並確保患者的安全。對於所有持有敏感數據的組織,明確的責任心措施和強制性的網絡安全要求都是必不可少的。”
卡格爾說,“對於現有的HIPAA法規缺乏執法,這是由於資金不足,用於HHS的公民權利以進行審計,因為他們本應在HIPAA下進行審計,並在發生違規時對HIPAA法規執行遵守。”他還說,“沒有針對醫療機構的特定要求的網絡安全實踐(當今存在最佳實踐,但它們是自願的),並且沒有任何第三方審計或驗證網絡安全和風險管理標準的要求。”
美國醫院協會拒絕對該法案發表評論。
軟件建議的調查發現,受勒索軟件攻擊影響的59%的實踐報告了對患者護理的中斷,使醫療保健提供者無法訪問重要的醫療記錄和診斷工具。
“In addition to patient safety risks, financial damages from cyber incidents are often astronomical, involving legal fees, forensic investigations, and regulatory fines. The reputational damage alone can result in patients losing trust and seeking care elsewhere,” Software Advice said, noting that “developing a comprehensive cybersecurity incident response plan is critical for healthcare practices of all sizes.”
軟件建議表示:“鑑於已經有89%的實踐已經使用了諸如兩因素身份驗證之類的工具,因此不可誇大了集成強大的網絡安全軟件的重要性。醫療保健提供者必須整合高級措施,包括電子郵件安全協議,防火牆和實時威脅檢測系統,以確保違反數據的全面保護。”
莫里斯說:“網絡攻擊的停機時間可能會破壞大多數企業的生產,利潤和聲譽,但在醫療保健中,這意味著無法訪問的醫療記錄,故障設備和延遲關鍵程序。” “為了減輕患者的這些風險,必須採取強大的網絡安全措施,包括響應計劃和員工培訓。”
調查報告說:“不幸的是,與其他類型的企業相比,醫療組織洩露數據差得多的事情也使這些醫療保健組織成為網絡犯罪分子的高價值目標,他們知道這些受害者將更有動力來支付贖金來追回盜竊數據。”
領導網絡安全和基礎設施安全局Covid特遣部隊的Josuah Corman是整個醫療保健行業更嚴格的網絡防禦工事的熱心倡導者,告訴參議院健康,教育,勞動和養老金委員會兩年前,“對醫療保健的攻擊正在增加數量,多樣性和影響力 - 現在的後果包括生命喪失。雖然採取了方向正確的步驟,但我們越來越快,我們越來越快,大膽的行動和援助將需要改變這一軌跡,以改變這些市場失敗,解決這些軌跡,缺乏這些障礙,缺乏易於侵害的易害者和歷史上的侵害。''''
目前,安全與技術研究所的公共安全和韌性居住地行政人員,以及我是騎兵Corman表示,這是一個專注於數字安全與公共安全交匯處的基層組織,他說HISAA將迫使聯邦政府在保護美國醫療保健系統方面發揮了擴展的作用。 While he acknowledges that the bill was introduced on the last day before Congress recessed ahead of the election next week and may not see any movement toward passage in the final months of this legislative session, he said, “I think this becomes the starting point for debate and discussion, but I hope what no one can disagree with is we do need executive-level accountability and incentives, and we do need a sense of urgency to make sure that the regulator of 20 percent of the economy and public安全/人類的生活有能力完成他們的工作並保留這種信任,如果您想看到固定的東西,將其作為C-套件問題。”
國會確實通過了2022年的《 2022年合併撥款法》的一部分,通過了《保護和轉變》的《網絡保健法》,但它僅調節醫療設備的網絡安全。
科爾曼說,兩黨法案,稱為《補丁法》,“解決了不斷發展的醫療技術的風險,包括勒索軟件攻擊對近年來大大增加的醫院的興起。”
食品和藥物管理局設備和放射學中心戰略夥伴關係和技術創新辦公室主任Suzanne Schwartz表示,該法案“賦予[FDA]牙齒”,“這確實是第一次,這確實將非常明確地建立在網絡企業中,我們是否可以與我們的機構保持相同,而不是明天的機構,我們是否會與您保持同樣的範圍。 今天。”
Corman說:“該補丁法標誌著使網絡安全的重要里程碑是任何新的醫療技術的產品評估過程的一部分。保護美國醫院的完整性對於所有患者的安全至關重要。”
但是仍然需要做更多的事情。根據下週選舉的結果以及眾議院和參議院的可能變化席位,Hisaa面臨模棱兩可的未來。網絡安全專家強調的是,這不是歧義的,醫療保健行業將繼續面臨不斷增長的壓力,以使其網絡安全保護康復,無論是自願還是通過法律規定。
