新的HIPAA规则要求72小时数据恢复和年度合规审计

文摘   2025-01-09 00:00   河南  

美国卫生与公众服务部 (HHS) 民权办公室 (OCR)针对医疗保健组织提出了新的网络安全要求,旨在保护患者的数据免受潜在的网络攻击。

民权办公室表示,提案旨在修改1996年《健康保险流通与责任法案》(HIPAA),是加强关键基础设施网络安全的更广泛举措的一部分。

该规则旨在通过更新 HIPAA 安全规则的标准来加强对电子受保护健康信息 (ePHI) 的保护,以“更好地应对医疗保健领域日益增加的网络安全威胁”。

为此,该提案除其他事项外,要求各组织对技术资产清单和网络图进行审查,识别可能对电子信息系统构成威胁的潜在漏洞,并建立在72小时内恢复某些相关电子信息系统和数据的丢失的程序。

其他值得注意的条款包括至少每 12 个月进行一次合规审计、强制对静态和传输中的 ePHI 进行加密、强制使用多因素身份验证、部署反恶意软件保护以及从相关电子信息系统中删除无关软件。

拟议规则制定通知 (NPRM) 还要求医疗保健实体实施网络分段,设置备份和恢复的技术控制,以及至少每六个月进行一次漏洞扫描和至少每 12 个月进行一次渗透测试。

目前,医疗保健行业继续成为勒索软件攻击的有利可图的目标,这不仅带来财务风险,而且还会破坏对诊断设备和包含患者医疗记录的关键系统的访问,从而危及生命。

微软在 2024 年 10 月指出:“医疗保健组织收集和存储极其敏感的数据,这很可能导致威胁行为者在勒索软件攻击中瞄准它们。”“然而,这些设施面临风险的一个更重要的原因是可能会产生巨额财务损失。”

“受勒索软件影响的医院附近的医疗机构也受到影响,因为他们需要护理的患者数量激增,但无法紧急为他们提供支持。”

根据网络安全公司 Sophos 汇编的数据,2024 年 67% 的医疗保健组织受到勒索软件的攻击,高于 2021 年的 34%。大多数此类事件的根本原因都可以追溯到利用的漏洞、泄露的凭据和恶意电子邮件。

此外,53% 的医疗机构在数据被加密后支付了赎金以恢复访问权限。平均赎金金额为 150 万美元。

针对医疗保健实体的勒索软件攻击率的增加也伴随着恢复时间的延长,只有 22% 的受害者在一周或更短的时间内从攻击中完全恢复,与 2022 年的 54% 相比大幅下降。

Sophos 首席技术官 John Shier表示:“医疗保健信息的高度敏感性和对可访问性的需求始终是网络犯罪分子瞄准的重点。不幸的是,网络犯罪分子已经了解到,很少有医疗保健组织准备好应对这些攻击,恢复时间越来越长就是明证。”

上个月,专注于全球公共卫生的联合国机构世界卫生组织(WHO)将针对医院和医疗保健系统的勒索软件攻击定性为“生死攸关的问题”,并呼吁国际合作打击网络威胁。

— 欢迎关注 往期回顾 —

精彩回顾:祺印说信安2024之前

230个网络和数据安全相关法律法规规范文件打包下载

单位高层领导参与网络安全不应该只是口头说说
党委(党组)网络安全工作责任制实施办法
“两高一弱”专项下,谈合规下的弱口令
网络被黑?还看“两高一弱” ,原来是不履行网络安全义务惹的祸

>>>网络安全等级保护<<<

网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
1994-2024等级保护30年法律法规及政策发展历程概览

网络安全等级保护:等级保护的概念

网络安全等级保护:等级保护工作的内涵

网络安全等级保护:开展网络等级保护工作的流程

网络安全等级保护:贯彻落实网络安全等级保护制度的原则

网络安全等级保护:开展网络安全等级保护工作的法律依据

网络安全等级保护:开展网络安全等级保护工作的政策依据

网络安全等级保护:开展网络安全等级保护工作的标准依据

网络安全等级保护:等级保护工作从定级到备案

网络安全等级保护:网络总体安全规划很重要

网络安全等级保护:一定要做好网络安全运行与维护

网络安全等级保护:应急响应与保障是法定要求

网络安全等级保护:如何正确处理终止的等级保护对象

网络安全等级保护:政策与技术“七一”大合集100+篇

网络安全等级保护:安全管理机构

网络安全等级保护:网络安全事件分类分级思维导图

网络安全等级保护:明确测评双方的责任从了解测评过程指南开始(思维导图下载)

>>>关键信息基础设施安全保护<<<

关键信息基础设施安全保护要求思维导图

关键信息基础设施保护要求之分析识别与风险评估乱谈
关键信息基础设施保护要求之安全防护

网络安全框架CSF 2.0 核心与示例映射

>>>数据安全系列<<<

数据安全管理从哪里开始
数据泄露的成本:医疗保健行业
数据安全知识:数据安全策略规划
数据安全知识:组织和人员管理
数据安全知识:数据库安全重要性
数据安全知识:数据整理与数据清理
数据安全知识:什么是数据存储?
数据安全知识:什么是数据风险评估?
数据安全知识:如何逐步执行数据风险评估
数据安全知识:数据风险管理降低企业风险
数据安全知识:数据整理与数据清理
数据安全知识:什么是数据安全态势管理?
数据安全知识:数据库安全重要性
数据安全知识:数据库安全威胁
数据安全知识:不同类型的数据库
数据安全知识:数据库简史
数据安全知识:什么是数据出口?
数据安全知识:什么是数据治理模型?
>>>错与罚<<<
两家公司违反《数据安全法》被郑州市网信办行政处罚
郑州网信办就网络安全问题依法约谈相关责任单位
郑州再增两家公司,因违反《网络安全法》被网信办行政处罚案例
一公司违反《网络安全法》被郑州惠济区委网信办约谈
重庆市网信办对一网络科技公司未履行网络数据安全保护义务罚款五万元

警惕风险突出的100个高危漏洞(上)

警惕风险突出的100个高危漏洞(下)

警惕“两高一弱”风险及安全防护提示(全集)

不履行网络安全保护义务是违法行为!多家单位被通报!

因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历

公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人

四川遂宁公安公布10起涉网违法犯罪典型案例

276人落网!河南新乡警方摧毁特大“网络水军”犯罪团伙

重拳出击严打涉网犯罪 海淀警方守护网络清朗
网警@同学们 暑期这些兼职不能做!

非法出售公民个人信息 网站经营者被判三年有期徒刑

超范围采集公民信息,违法!鹤壁网警出手

一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆

重庆某国企因网安责任人履职不到位被约谈

因违规收集使用个人信息等,人保寿险宁波分公司被罚32万,4名责任人同时被罚

回顾长沙市三个区网信开出首张罚单的不同时间和处罚单位类型

上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!

假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!

网安局:拒不履行网络安全保护义务,处罚!事关备案!

网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网

北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点

关于“近20台服务器“沦陷”,3.54亿条个人信息被盗”一点点浅析

>>>其他<<<

2023年10佳免费网络威胁情报来源和工具

重大网络安全事件事后工作很重要

默认安全:对现代企业意味着什么

网络安全知识:什么是事件响应?

网络安全知识:什么是攻击面?

网络安全知识:什么是访问控制列表 (ACL)?

网络安全知识:什么是访问管理?

网络安全知识:什么是访问矩阵?

网络安全知识:什么是账户收集?

网络安全知识:什么是工业控制系统 (ICS) 网络安全?

网络安全知识:什么是暴力攻击?

网络安全知识:什么是安全审计?

网络安全知识:什么是分组密码?

网络安全知识:什么是僵尸网络?

网络安全知识:什么是非对称加密?

网络安全知识:什么是边界网关协议 (BGP)?

网络安全知识:什么是缓冲区溢出?

网络安全知识:网络安全中的EDR是什么?

网络安全知识:什么是身份验证?

网络安全知识:什么是勒索软件?

网络安全知识:什么是授权?

网络安全知识:什么是自治系统?

网络安全知识:什么是蓝队?

网络安全知识:什么是Bind Shell?

网络安全知识:什么是安全网关?

网络安全知识:什么是蓝队?

网络安全知识:什么是防病毒产品?

网络安全知识:什么是横幅抓取?

网络安全知识:什么是堡垒主机?

网络安全知识:什么是引导扇区病毒?

网络安全知识:计算机网络中的桥接器

网络安全知识:什么是广播?

网络安全知识:什么是业务连续性计划?

网络安全知识:什么是基于证书的身份验证?

网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?

网络安全知识:什么是补丁管理?

网络安全知识:什么是跨站请求伪造?

网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?

网络安全知识:什么是拒绝服务(DoS)攻击?

网络安全知识:什么是端到端加密 (E2EE)?

将人类从网络安全中解放出来

人,是造成网络安全问题的根本原因

祺印说信安
学习网络安全、说网络安全;共同致力于网络安全、网络安全等级保护。
 最新文章