关注我们
带你读懂网络安全
美国卫生与公众服务部民权办公室发布《加强受保护电子健康信息(ePHI)网络安全的HIPAA安全规则》拟议规则,以修改HIPAA法案的网络安全要求;
威胁态势恶化倒逼网安投入增加,据估算,新规在未来5年内将产生超2400亿元的网络安全合规支出。
前情回顾·美国网络安全经费态势
安全内参12月30日消息,一位白宫高级官员在27日表示,美国医疗机构可能需要加强网络安全措施,以更有效地防止敏感信息因网络攻击而泄露,例如此前针对Ascension和联合健康集团等机构的攻击事件。
美国负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)对记者表示,鉴于大量美国人因医疗信息大规模泄露而受到影响,提出这些要求是十分必要的。新提案包括对数据进行加密,以确保即使数据被泄露也无法被访问,以及要求医疗机构进行合规性检查,以确保其符合网络安全规则。
完整的拟议规则(NPRM)已于27日发布在《联邦公报》上,美国卫生与公众服务部(HHS)在官网上发布了简洁版概要。
HHS下属的民权办公室(OCR)提出的这项拟议规则,将更新《健康保险可携性与责任法案》(HIPAA)下的相关要求。据纽伯格介绍,第一年的实施预计将耗资90亿美元,而第2年至第5年预计每年将耗资60亿美元。5年总计合规成本将达340亿美元(约合人民币2481亿元)。
OCR发言人于27日晚间表示:“我们提出了一系列重要建议,如果这些建议最终被采纳,将显著改善网络安全水平,并最终保护每个人的健康信息。”
拟议规则下一步将进入为期60天的公众意见征询阶段,之后才会做出最终决定。
修订背景
由于过去5年中医疗数据泄露事件频发,特别是2024年发生了美国历史上最严重的两起医疗事件(Change Healthcare和Ascension医院网络的勒索软件攻击),白宫决定在最近几个月采取行动应对这一问题。
纽伯格指出,尽管2023年医疗数据泄露的平均成本为1010万美元,但像Ascension和Change Healthcare这样的组织正面临潜在的灾难性损失。据估计,Change Healthcare的母公司美国联合健康集团在今年2月的事件中损失超过8.5亿美元。
她说:“自2019年以来,由黑客攻击和勒索软件导致的大型数据泄露事件分别增长了89%和102%。在我的工作中,最令人担忧和深感不安的一些事件之一,就是医院被黑客攻击,医疗数据遭受严重泄露。”
纽伯格表示,2023年超过1.67亿人的医疗信息由于网络安全事件受到了影响。
“我们看到医院被迫转为手动操作,我们也看到大量美国人的敏感医疗数据、心理健康数据以及医疗程序数据被泄露到暗网上,为敲诈个人提供了机会。”
合规要求
该规则将明确并详细指导覆盖实体及其业务伙伴应采取的措施,以确保电子受保护健康信息(ePHI)的安全。提议的规则还要求将相关政策和程序以书面形式记录,并定期审查、测试和更新。OCR表示,这些规则将进一步使安全规定与现代网络安全最佳实践保持一致。
这些建议涵盖以下方面:
医疗服务提供环境的变化。
数据泄露和网络攻击的显著增长。
OCR在对覆盖实体及其业务伙伴安全规则合规性调查中发现的常见问题。
其他网络安全指南、最佳实践、方法论、程序和流程。
影响安全规则实施的法院判决。
例如,提议的规则要求对风险分析进行更明确的规定。新的具体要求包括书面评估,其中需包含以下内容:
技术资产清单和网络架构图的审查。
对涉及ePHI的保密性、完整性和可用性的所有合理预期威胁的识别。
对受监管实体相关电子信息系统中潜在漏洞及其诱发条件的识别。
基于每个已识别威胁和漏洞的利用可能性,对每个风险的级别进行评估。
此外,该规则还要求至少每6个月进行一次漏洞扫描,每12个月进行一次渗透测试,以及实施网络分段措施等。
参考资料:路透社等
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
?发表于:中国 北京
