美国政府新的网络安全绩效目标对美国医院或其他医疗保健机构中负责信息安全的部门至关重要。今年 1 月,美国卫生与公众服务部(HHS)发布了自愿性、针对医疗保健行业的网络安全绩效目标(CPG)。这些目标分为两类:基本目标和增强目标。关键的网络安全绩效目标:如果您是美国医院或其他医疗保健机构的网络安全负责人,却对政府新的“自愿性”网络安全绩效目标无动于衷,那可就是忽视了危险信号。“CPG 的好处在于,它指明了未来的发展方向,以及组织应该致力于达到的标准和期望。”谷歌云首席信息安全官办公室总监泰勒·莱曼(Taylor Lehmann)表示:“虽然可能不是今天,但 HHS 文件中的内容很可能会成为最终的规章制度或新的监管要求,进而成为法律。”泰勒·莱曼还说:“如果您认为自愿性就不意味着您必须采取行动,那您可能就错了。自愿性目标变成强制性要求,这在医疗保健领域的其他规则制定中常常如此,特别是与安全相关的规则。”信息安全仍面临挑战:今年 1 月初,创纪录的 46 个医疗网络(共计 141 家医院)仍在遭受勒索软件感染和数据盗窃的困扰,有传言称白宫将很快要求美国医院在获得联邦资金前满足基本的网络安全标准。在此期间,入侵背后的犯罪分子采用日益危险的勒索手段,迫使医院支付赎金。当被问及医院监管问题时,美国医疗保险和医疗补助服务中心(CMS)提及了一份于 12 月发布的概述 HHS 网络安全战略的概念文件。两个目标:1 月晚些时候,HHS 发布了自愿性、针对医疗保健行业的
CPG。这些目标分为基本和增强两类,每类都有十项具体措施,可帮助您更好地抵御网络攻击。基本目标听起来像是人们希望医院和诊所已经具备的基本安全措施。但泰勒·莱曼表示,它们都是基于现实世界的攻击和入侵事件。“我很想说这些都是显而易见的,但显然并非所有措施都有公开发表的证据,”他说。这些措施包括修复已知漏洞、使用多因素认证、实施电子邮件安全、培训员工安全行为、加密敏感数据,以及在员工、承包商和志愿者离职时撤销其凭证。基本的应急响应计划、使用唯一凭证、用户账户与特权账户分离,以及评估供应商风险等,都属于基本目标。另一个重要目标——在员工离职时撤销其凭证——也并不像听起来那么简单。“如果您是学术医疗系统,并且拥有五所或更多的学术机构,您就不知道那些学生何时毕业、何时离开,”莱曼说。长期以来,数据保密性和保护患者 PII 及健康信息一直被视为确保医疗保健的唯一目标,因为若未能保护机密信息,医院可能会受到政府机构的审查。“可用性与保密性同等重要,甚至更加重要,”莱曼说。他还补充道,许多医疗机构尚未进化到能从这一角度思考安全问题。“我关心我的数据是否被泄露,但我更关心是否会因此丧命。”