美国医院面临的网络安全挑战

关键要点

• 美国医院在网络安全方面几乎没有任何安全计划，面临着人手不足和COVID-19大流行的困境。
• 医疗领导者呼吁立法者提供联邦激励措施和新的网络安全标准。
• 目前的卫生法规存在于医疗机构中的合规性仍然较低。
• 许多医院面临经济压力，特别是乡村医院，他们对医保的依赖加剧了这一问题。
• 业界建议利用现有的指导，而不是从头开始制定新的框架。

美国医院在网络安全方面几乎处于无保护状态，同时面临着 staffing 以及 COVID-19大流行造成的重重压力。这些问题促使医疗行业领袖敦促立法者提供联邦激励措施，制定最低水平的网络安全标准。

Fortified Health Security 的高级虚拟信息安全官凯特·皮尔斯（KatePierce）在周四的国土安全与政府事务委员会上详细描述了医疗行业当前面临的挑战。

但是，未能实施最佳安全实践并不是立法者缺乏理解的原因。

在现有法规下，医疗机构需遵循《健康保险可携性和责任法》（HIPAA）。问题在于，，相比之下，大多数行业（除了医疗行业）都采用NIST网络安全框架。

尽管有最低标准，2020年9月CynergisTek的一份报告显示，只有76%的医疗提供者符合该规则。这些安全漏洞使行业面临更高的威胁环境，同时又加剧了对过时平台的依赖以及不断扩大的设备清单。

由于每日都有医院停机和大规模数据泄露的报告，公众对问题的关注达到了空前高度；甚至 。

皮尔斯解释说，医疗机构在2009年《HITECH法案》实施后，需进行风险评估。“因此，现在每个人都意识到自己的风险所在。”但她补充道：“他们选择接受这些风险，主要由于财务方面的考虑，他们无法承担或无法配备人员来应对这些风险。”

“小型和乡村医院目前因疫情而面临严重影响，人手严重短缺。供应链和技术成本大幅上升，”皮尔斯表示。这些医院通常为低收入患者服务，医疗补助人口在乡村地区往往更高。

这意味着本已处于亏损状态的医院，还需等待医疗补助的报销，而这一报销历史上常常滞后，且低于平均护理成本。这些医院正面临高额支出，此外，还有一些机构的预算低于5%到10%。

转向必需的安全模型，“我相信这些建议和指导将非常有助于推动该行业巩固其环境。”随着数字健康和连接设备的不断扩展，这些实体面临的挑战将更加严峻，而网络安全在其中仍处于次要地位。

“网络安全倡议不能孤立考虑，”皮尔斯表示。“网络安全应作为所有医院的基本要求，并且医疗补助应按成本报销。”

这可以通过提供医院补贴、增加医疗补助服务的报销，或设立网络激励项目来实现，因为网络安全（或缺乏网络安全）对患者护理有直接且立竿见影的影响。

不需要另一个框架：呼吁参议院采用行业指导

并不意味着政府需要从零开始建立一个框架。，关于建议和指导并不是短缺的——其中很多都是免费提供的。

医疗利益相关者的主要建议是利用现有的指导，这些指导是“由该领域为该领域，并与卫生与人类服务部共同开发”，医疗和公共卫生部门协调委员会的网络安全执行主任格雷格·加西亚（GregGarcia）在委员会中表示。

由405d委员会开发的五卷本自愿指南将在几周内更新为2023年健康行业网络安全实践。加西亚补充说，这些都是“所有医疗系统应该实施的最低安全