quange
美国卫生与公众服务部(HHS)在大量医疗数据泄露激增后,提出了对 1996 年《健康保险可携带性和问责制法案》(HIPAA)的更新,以保障患者健康数据安全。
这些更严格的网络安全规则由 HHS 的公民权利办公室(OCR)提出,预计将在 60 天内作为最终规则发布,要求医疗机构对受保护的健康信息(PHI)进行加密,实施多因素认证,并划分网络以使攻击者更难横向移动。
近年来,向该部门报告的涉及 500 人或以上个人的数据泄露事件数量急剧增长,受此类泄露事件影响的个人总数以及利用黑客攻击和勒索软件的网络安全攻击的猖獗升级,HHS 的提案如是说。
“该部门对受监管实体经历的违规和其他网络安全事件的增加表示担忧。我们也越来越关注受此类事件影响的人数上升趋势以及此类事件可能造成的潜在危害的严重性。”
路透社报道,白宫网络安全和新兴技术副国家安全顾问安妮·纽伯格也对记者表示,HIPAA 网络安全规则更新是由近年来影响医院和美国人的一系列勒索软件攻击和大规模数据泄露事件引发的。
Neuberger 补充说,实施这些规则在第一年大约需要 90 亿美元,在接下来的四年中则超过 60 亿美元。
《健康保险可携带性和责任法案》(HIPAA)下的安全规则首次于 2003 年发布,并于 2013 年最后修订,因此这是超过十年以来对这项 20 年规则的首次更新,它将要求维护医疗数据实体进行加密等操作,以确保在遭受攻击时数据不会泄露到网络上,从而危及个人,”纽伯格说。
不采取行动的代价不仅高昂,还危及关键基础设施和患者安全,并带来其他有害后果。
最近,美国最大的私营医疗保健系统之一 Ascension 通知近 560 万人,他们的个人和健康数据在 5 月的 Black Basta 勒索软件攻击中被窃取。
网络攻击之后,Ascension 的员工被迫用纸张记录药物和程序,因为患者的电子病历不再可访问。这家医疗巨头还不得不关闭一些设备,并将紧急医疗服务转移到其他医疗单位,以防止分类延误。
