随着近年来公共舆论的高涨,像参议员马克华纳DVa这样的长期医疗网络安全倡导者开始提出立法建议,以激励该行业采取更强有力的安全措施。同时,美国卫生与公用服务部HHS下属的民权办公室OCR也对Change Healthcare和United Healthcare展开了调查,重点关注是否有受保护的健康信息被泄露,以及这两家公司是否遵循《健康保险可携带性与责任法案》HIPAA。
监管机构的调查将明确是否存在信息泄露,同时也关注与Change Healthcare和UnitedHealthcare合作的实体。尽管媒体对Change Healthcare遭遇的勒索软件事件的关注逐渐减弱,但受影响的医疗服务提供商和患者的后续影响仍在持续。公众甚至被卷入这一事件中的成本和影响,在未来几个月内可能都难以完全了解。
类似的事件在其他行业的基础设施中也曾引发了广泛变革。举例来说,从2013年的Target黑客事件,到2021年的Colonial Pipeline和SolarWinds事件,巨大的影响促成了广泛的监管和执行行政命令,旨在解决系统性问题。
尽管Change Healthcare的事件备受关注,但这一事件只是医疗行业近年来持续进行的骚扰和对患者安全影响的最新例证。自2016年网络攻击针对医疗行业开始以来,每次网络攻击都引发公众的强烈反响,医疗机构声称:“这将是决定性时刻。”然而,尽管HHS、OCR、立法者、国会及众多专注于此领域的研究者努力争取必要的资源和资金以实现真正变革,但资源的改变依然遥不可及。
此次不同之处在于,所有人都在关注这类事件,而不只是医疗行业内部的人士。确实,这是一个决定性时刻当患者不得不到医院就医以获得救命药物,却因他们的保险公司无法提供服务而无法自付时,问题尤为明显。
参议员华纳再次肩负起推动立法的重任,延续他在2021年提出的详细政策建议,以推动医疗网络安全的进展。HHS也发布了网络绩效目标CPGs,甚至建议的联邦预算表明未来五年内将出台强制性安全措施。
如果和当今的首席信息官CIO或首席信息安全官CISO交谈,你会发现,即使是在大型组织中,他们都希望监管能有一定的确定性。人们都厌恶未知。尽管有游说集团推动无监管,然而在医疗领域展开工作的专业人士更支持更好的监管和清晰度,因为医疗政策中有太多不确定性。
根据现行的HIPAA法规,当发生安全事件时,处罚细节却并不明确,甚至现有的指导方针也很模糊。OCR对报告的安全事件进行审计可能需耗时数年才能作出发现和采取执法行动。
目前,医疗行业的监管机构所拥有的只是一根“棍子”。自2009年HIPAA实施以来,这一直是医疗行业采取彼此行动的唯一依据。然而,这些基于强制和惩罚的措施没有任何提升医疗行业网络安全成熟度的效果。
尽管对网络安全的意识已变得极高,但这种意识并未普遍扩散。确实有些医疗机构已经尽到责任,实施了在其他行业中被广泛采用的最佳实践,比如NIST。然而,HIPAA至今仍是医疗网络安全的核心要求一个已经存在15年的法规,仅包含42条安全控制条款,中心围绕患者数据。
相比之下,NIST网络安全框架CSF则拥有数百
黑洞加速器安卓下载
