美国卫生与公众服务部 (HHS) 提议对 HIPAA 安全规则进行重大更新,这是该规则十多年来的首次重大修改。
该举措旨在应对针对医疗保健系统和患者数据的网络攻击日益频繁和复杂的问题。
负责网络和新兴技术的副国家安全顾问 Anne Neuberger 在白宫简报会上强调了这些变化的迫切需要,并强调了它们在打击来自民族国家行为者的网络威胁方面的重要性。
强制加密
拟议的修改在新发布的拟议规则制定通知(NPRM) 中进行了详细说明,其中包括旨在加强对电子受保护健康信息 (ePHI) 保护的更新。
关键方面包括:
- 强制加密 ePHI 以防止数据泄露。
- 增强的安全措施,例如多因素身份验证 (MFA) 和详细的风险评估。
- 医疗保健实体有义务定期进行安全审计并实施强有力的事件响应机制。
HHS 强调了这些更新的重要性,并指出许多医疗保健组织缺乏足够的防御措施来应对当前的网络威胁。
2023 年涉及超过 1.67 亿人的入侵事件,近年来勒索软件等攻击增长了 100% 以上。
应对黑客威胁
在简报会上,调查显示,攻击者利用被攻陷的网络配置访问敏感数据并定位个人,使数百万人面临潜在的间谍活动。
这一事件凸显了拟议的监管改革的迫切需要,以防止关键基础设施受到此类攻击。
卫生与公众服务部 (HHS) 的提案吸取了调查的经验教训,重点如下:
- 漏洞管理:要求医疗保健组织及时识别并修补安全漏洞。
- 分段网络架构:确保即使发生初始攻击,攻击者也无法获得不受限制的访问权限。
- 跨部门合作:建立有关网络威胁和事件的更快信息共享框架。
虽然拟议的规则将带来新的成本,第一年估计为 90 亿美元,接下来四年每年为 60 亿美元;但卫生与公众服务部认为,长期收益远远超过这些费用。
目前,医疗保健领域的网络入侵事件平均每起事件造成 1010 万美元损失。
该部门声称,不采取行动可能会导致更大的经济损失并危及患者安全。
英国和澳大利亚等国家已经针对其医疗保健行业实施了更为严格的网络安全法规,从而可以更快地发现和缓解事件。
借鉴这些例子,美国寻求使其框架现代化并加强防御能力。
拟议的变更将开放公众意见征询,直至 2025 年初,最终规则预计将于当年晚些时候生效。
