提升医疗机构安全性的拟议变更

关键要点

• 美国卫生与公共服务部（HHS）提出加强电子健康记录安全的新规。
• 更新内容包括强制数据加密和多因素认证，以应对网络攻击的增加。
• 专家呼吁制定更新措施，同时警告考虑到政治不确定性、执行的可行性以及对医疗机构的潜在成本。


信贷：PeopleImages.com - Yuri A / Shutterstock

美国卫生与公共服务部（HHS）正在开展针对电子健康记录安全的新规咨询，以针对日益增长的网络攻击风险。

这一，涵盖《健康保险流通与问责法案》（HIPAA），旨在应对针对医疗环境的，例如勒索软件。

更新后的规则旨在增强电子受保护健康信息的网络安全措施，要求对敏感医疗数据进行加密、实施作为防范钓鱼攻击的防线，并加强网络安全控制，如网络分段。

更新的还要求医疗组织加强和程序，进行年度渗透测试和合规审核等措施。许多提案涵盖了成熟网络安全项目的最佳实践企业安全指南。

在3月7日的截止日期前，受到欢迎，这些规则预计将于6月生效。

医疗改革“早该进行”

CSO对这些提案的调查结果显示，安全和法律专家普遍支持，同时指出实施这些变更将需要大量资源、成本和人力。

来自美国汉顿安德鲁斯·库尔特律师事务所的合伙人、网络安全和数据隐私业务负责人丽莎·索托（LisaSotto）表示，“早该进行”。

她表示：“网络威胁环境在过去20年中发生了剧烈变化，但规则却一直停滞不前，实际上落后于当前医疗系统所面临的威胁。”她指出，拟议的规则将要求实施已经被视为安全必要措施的做法——例如，多个身份验证不再被视为可选，拟议规则将要求覆盖实体实施MFA。

缺少多因素身份认证在中扮演了重要角色。

她认为：“拟议的变更是广泛的，将帮助受HIPAA保护的实体专注于应该实施的安全防护措施，以保护抵御不法行为者对医疗实体的持续攻击。”

网络安全专家称赞规则变更转向基于风险的做法，但也有人担忧这些措施可能会增加小型诊所和医疗提供者的财政负