提升医疗机构安全性的拟议变更

关键要点

美国卫生与公共服务部HHS提出加强电子健康记录安全的新规。更新内容包括强制数据加密和多因素认证，以应对网络攻击的增加。专家呼吁制定更新措施，同时警告考虑到政治不确定性、执行的可行性以及对医疗机构的潜在成本。

信贷：PeopleImagescom Yuri A / Shutterstock

美国卫生与公共服务部HHS正在开展针对电子健康记录安全的新规咨询，以针对日益增长的网络攻击风险。

这一拟议的安全规则变更，涵盖《健康保险流通与问责法案》HIPAA，旨在应对针对医疗环境的网络攻击风险增加，例如勒索软件。

更新后的规则旨在增强电子受保护健康信息的网络安全措施，要求对敏感医疗数据进行加密、实施多因素认证作为防范钓鱼攻击的防线，并加强网络安全控制，如网络分段。

更新的HIPAA安全法规还要求医疗组织加强安全事件响应计划和程序，进行年度渗透测试和合规审核等措施。许多提案涵盖了成熟网络安全项目的最佳实践企业安全指南。

在3月7日的截止日期前，业内对规则变更的反馈受到欢迎，这些规则预计将于6月生效。

医疗改革“早该进行”

CSO对这些提案的调查结果显示，安全和法律专家普遍支持，同时指出实施这些变更将需要大量资源、成本和人力。

旋风加速官网下载

来自美国汉顿安德鲁斯库尔特律师事务所的合伙人、网络安全和数据隐私业务负责人丽莎索托Lisa Sotto表示，HIPAA安全规则的更新“早该进行”。

她表示：“网络威胁环境在过去20年中发生了剧烈变化，但规则却一直停滞不前，实际上落后于当前医疗系统所面临的威胁。”她指出，拟议的规则将要求实施已经被视为安全必要措施的做法例如，多个身份验证不再被视为可选，拟议规则将要求覆盖实体实施MFA。

缺少多因素身份认证在Change Healthcare勒索软件事件中扮演了重要角色。

她认为：“拟议的变更是广泛的，将帮助受HIPAA保护的实体专注于应该实施的安全防护措施，以保护抵御不法行为者对医疗实体的持续攻击。”

另见：网络攻击对医疗保健的影响：Change Healthcare泄密事件揭示了什么

网络安全专家称赞规则变更转向基于风险的做法，但也有人担忧这些措施可能会增加小型诊所和医疗提供者的财政负