您现在的位置是:首页 >新闻频道企业要闻 2019-09-23 10:48:34

行业团体寻求安全港 以评论参议员的网络安全问题

关键基础设施技术研究所周二发布了一份分析报告,分析了业界对参议院情报委员会马克·沃纳(Mark Warner)于2月21日致信的回应,该信呼吁12个医疗保健组织和四个联邦机构提供反馈意见,以告知“改善我们医疗保健行业的安全性,弹性和安全性的国家战略。”

网络安全智囊团的报告审查了AdvaMed和其他六个组织的公开意见。出现的共同主题包括需要利益相关者之间的协作,需要制定网络安全国家战略 以及为HIPAA覆盖的实体提供“安全港”,尽管遵守了网络安全的最佳实践,这些实体还是遭到了破坏。

在设备方面,AdvaMed表示,医疗技术公司应将网络安全考虑因素纳入产品开发中,实施跨行业协调的漏洞披露政策,并采用共识性标准和规定。

一个报告 由网络安全公司Bitglass发现,虽然报告的医疗违规数量略低于294在2017年下降到290,去年的记录数突破一倍以上-从470万到11.5万美元。

尽管取得了一些进展,但EHR的漏洞和网络安全的资金不足仍使许多医院和其他组织面临风险,而这些风险常常来自其员工。在最近的HIMSS调查中,网络安全性,隐私权和安全性是医疗保健主管最关注的问题,与提供商的得分为7.69分,与供应商的得分为5.38分。瘫痪的组织将面临服务中断带来的收入损失,解锁加密系统的赎金成本,HIPAA对泄露的记录处以巨额罚款以及对其品牌形象的损害,从而可能影响患者人数。

影响的不仅是电子病历;ICIT注意到2017年趋势科技的一份报告发现,超过100,000种医疗设备和系统直接暴露于公共互联网。其他示例包括2017年5月感染了勒索软件的拜耳和西门子设备,以及美国国土安全部标记为存在漏洞的设备,例如GE Healthcare的成像系统和Medtronic的心脏植入物。

除了AdvaMed之外,向华纳提供反馈的组织还包括美国医院协会,美国医学协会,医疗保健信息管理学院高管,医疗保健领导委员会,HITRUST以及弗吉尼亚医院和医疗保健协会。

关键要点是政府和行业利益相关者与网络安全专家之间需要合作。

ICIT报告说:“威胁共享计划可以提供更强的数据保护,更重要的是,可以提供主动的威慑选择,而不是被动的补救措施。主要利益相关者之间的协作可以改善检测和响应工作,但也可以防止传递和供应链攻击“。

CHIME引起了人们的关注,即设备公司可以在未与提供商签署HIPAA协议的情况下访问患者信息,以及缺乏对漏洞和补丁信息的实时了解。沿着这些思路,组织还提到了保护越来越大的互连网络的挑战。

组织还表示支持针对医疗保健网络安全的国家战略和联邦指南,包括有关评估组织内部威胁的建议。他们敦促监管者提供激励措施,以实现良好的网络控制,而不仅仅是惩罚违规行为。

在回应中,AMA敦促立法者和政府当局“允许HIPAA的“安全规则的'多种遵守途径””,例如承认实施美国国家标准技术研究院网络安全标准框架的实体已遵守该规则。

关于安全港的问题,包括AHA,CHIME,HITRUST和HLC在内的多个组织表示,为受到攻击的对安全意识很强的实体提供保护,使其免受执法行动的侵害,将激励组织加大对安全控制方面的投入。AHA建议,要获得资格,组织可能需要通过认证流程证明其符合网络安全最佳做法。

“安全港将使被涵盖实体清楚他们需要执行的勤奋程度,包括当他们同意通过健康信息交换等工具与其他系统/组织共享和交换受保护的健康信息时,避免在攻击者获得收益时执行OCR访问权限”。

为了实现安全港的要求,各组织敦促国会指示HHS制定认证计划,这是一个问题指南,提供了与NIST网络安全框架一致的基准安全保障。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章