加强医疗信息安全的新提案

关键要点

美国卫生与公共服务部（HHS）提议加强HIPAA安全规则，以应对近年来网络攻击的增多，呼吁采取严格的网络安全措施来保护电子受保护健康信息（ePHI）。此提案强调网络分割的重要性，认为这是防止数据泄露的第一道防线。此外，HHS的提案呼吁医疗组织采取主动的安全策略，以应对持续增加的网络威胁。

在医疗行业，数据泄露不仅会损害公众信任，还有可能带来严重的财务和声誉损失。因此，组织必须从反应式安全姿态转向主动式策略，重点在于减少攻击面和整体风险。

网络攻击的快速上升

HHS的提案指出，近年来发生了“网络攻击和勒索软件攻击的急剧上升”。自2019年以来，由黑客和勒索软件攻击引起的医疗数据泄露数量激增，分别达到89%和102%。仅在2023年，超过受到网络安全事件的影响。

HHS副国家安全顾问安妮·纽伯格（AnneNeuberger）解释了新规则的必要性，这些规则在第一年将花费约：
“不采取行动的代价不仅高昂，还可能危及关键基础设施和患者安全，同时带来其他有害后果……敏感数据被泄露，有可能被恶意勒索。”

HHS提案中关于“”指出网络分割在防止数据泄露方面的重要性：

“常见的网络分割做法将大幅降低ePHI安全性的风险，并可能防止此类泄露的发生。”

这绝不是一项普通建议，而是每个处理敏感健康数据的组织必须面临的警醒。我们不能只满足于“常见的网络分割”，每个资产都需要得到保护。

维护网络安全的基本策略

医疗行业继续成为网络攻击的主要目标。泄露ePHI的数据泄露不仅削弱了公众信任，还会带来毁灭性的财务和声誉损失。尽管事件检测和响应一直主导着安全预算，但这一提案提出了新的方向：重心必须转向预防。

预防始于分割

网络分割，尤其是微分割，长期以来在人们的网络安全策略中未得到充分利用。HHS的提案强有力地阐明了它作为第一道防线的角色。以下是原因：

优势 | 描述
—|—
减少攻击面 | 通过将资产和处理或存储ePHI的系统与普通网络隔离，组织可以显著限制攻击者在环境中横向移动的能力。
防止数据泄露传播 | 分割创建了虚拟障碍，将攻击者限制在一个小（微）分段内，从而有效降低攻击者可以横向移动的能力，保护更高层的资产及敏感数据。
限制外部威胁暴露 | 尽管面向公共的组件不可避免，但如果在不进行分割的情况下将其连接到敏感系统，后果将不堪设想。正确的分割可以确保即便面向公共的系统被攻击，关键的ePHI依然安全。

实践与实施：医疗安全的下一步

HHS提案强调可扩展的分割解决方案，但紧迫性显而易见：立即行动，否则可能成为下一个头条新闻。 以下是组织有效采纳这些措施的示例路线图：

• 风险评估 ：首先识别关键资产并绘制网络依赖图。评估现有网络架构中的弱点和高风险连接。
• 微分割 ：超越传统的分割方法，对应用程序或工作负载实施细粒度的基于身份的访问控制。这确保只有授权用户和应用程序才能在特定