美国卫生与公众服务部民权办公室发布《加强受保护电子健康信息(ePHI)网络安全的HIPAA安全规则》拟议规则,以修改HIPAA法案的网络安全要求;
威胁态势恶化倒逼网安投入增加,据估算,新规在未来5年内将产生超2400亿元的网络安全合规支出。
安全内参12月30日消息,一位白宫高级官员在27日表示,美国医疗机构可能需要加强网络安全措施,以更有效地防止敏感信息因网络攻击而泄露,例如此前针对Ascension和联合健康集团等机构的攻击事件。美国负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)对记者表示,鉴于大量美国人因医疗信息大规模泄露而受到影响,提出这些要求是十分必要的。新提案包括对数据进行加密,以确保即使数据被泄露也无法被访问,以及要求医疗机构进行合规性检查,以确保其符合网络安全规则。完整的拟议规则(NPRM)已于27日发布在《联邦公报》上,美国卫生与公众服务部(HHS)在官网上发布了简洁版概要。HHS下属的民权办公室(OCR)提出的这项拟议规则,将更新《健康保险可携性与责任法案》(HIPAA)下的相关要求。据纽伯格介绍,第一年的实施预计将耗资90亿美元,而第2年至第5年预计每年将耗资60亿美元。5年总计合规成本将达340亿美元(约合人民币2481亿元)。OCR发言人于27日晚间表示:“我们提出了一系列重要建议,如果这些建议最终被采纳,将显著改善网络安全水平,并最终保护每个人的健康信息。”拟议规则下一步将进入为期60天的公众意见征询阶段,之后才会做出最终决定。由于过去5年中医疗数据泄露事件频发,特别是2024年发生了美国历史上最严重的两起医疗事件(Change Healthcare和Ascension医院网络的勒索软件攻击),白宫决定在最近几个月采取行动应对这一问题。纽伯格指出,尽管2023年医疗数据泄露的平均成本为1010万美元,但像Ascension和Change Healthcare这样的组织正面临潜在的灾难性损失。据估计,Change Healthcare的母公司美国联合健康集团在今年2月的事件中损失超过8.5亿美元。她说:“自2019年以来,由黑客攻击和勒索软件导致的大型数据泄露事件分别增长了89%和102%。在我的工作中,最令人担忧和深感不安的一些事件之一,就是医院被黑客攻击,医疗数据遭受严重泄露。”纽伯格表示,2023年超过1.67亿人的医疗信息由于网络安全事件受到了影响。“我们看到医院被迫转为手动操作,我们也看到大量美国人的敏感医疗数据、心理健康数据以及医疗程序数据被泄露到暗网上,为敲诈个人提供了机会。”该规则将明确并详细指导覆盖实体及其业务伙伴应采取的措施,以确保电子受保护健康信息(ePHI)的安全。提议的规则还要求将相关政策和程序以书面形式记录,并定期审查、测试和更新。OCR表示,这些规则将进一步使安全规定与现代网络安全最佳实践保持一致。- OCR在对覆盖实体及其业务伙伴安全规则合规性调查中发现的常见问题。
例如,提议的规则要求对风险分析进行更明确的规定。新的具体要求包括书面评估,其中需包含以下内容:- 对涉及ePHI的保密性、完整性和可用性的所有合理预期威胁的识别。
- 对受监管实体相关电子信息系统中潜在漏洞及其诱发条件的识别。
- 基于每个已识别威胁和漏洞的利用可能性,对每个风险的级别进行评估。
此外,该规则还要求至少每6个月进行一次漏洞扫描,每12个月进行一次渗透测试,以及实施网络分段措施等。
文章来源: https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513383&idx=1&sn=c4268ac2e454bfc56d235730e1bf94ac&chksm=ebfaf207dc8d7b11c708ead051012afa6ec0e5af7070e898d555f8917f12b9fc91f7f3eb7aa8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh