加强医疗信息安全的新提案
关键要点
美国卫生与公共服务部(HHS)提议加强HIPAA安全规则,以应对近年来网络攻击的增多,呼吁采取严格的网络安全措施来保护电子受保护健康信息(ePHI)。此提案强调网络分割的重要性,认为这是防止数据泄露的第一道防线。此外,HHS的提案呼吁医疗组织采取主动的安全策略,以应对持续增加的网络威胁。
在医疗行业,数据泄露不仅会损害公众信任,还有可能带来严重的财务和声誉损失。因此,组织必须从反应式安全姿态转向主动式策略,重点在于减少攻击面和整体风险。
网络攻击的快速上升
HHS的提案指出,近年来发生了“网络攻击和勒索软件攻击的急剧上升”。自2019年以来,由黑客和勒索软件攻击引起的医疗数据泄露数量激增,分别达到89%和102%。仅在2023年,超过受到网络安全事件的影响。
HHS副国家安全顾问安妮·纽伯格(AnneNeuberger)解释了新规则的必要性,这些规则在第一年将花费约:
“不采取行动的代价不仅高昂,还可能危及关键基础设施和患者安全,同时带来其他有害后果……敏感数据被泄露,有可能被恶意勒索。”
HHS提案中关于“”指出网络分割在防止数据泄露方面的重要性:
“常见的网络分割做法将大幅降低ePHI安全性的风险,并可能防止此类泄露的发生。”
这绝不是一项普通建议,而是每个处理敏感健康数据的组织必须面临的警醒。我们不能只满足于“常见的网络分割”,每个资产都需要得到保护。
维护网络安全的基本策略
医疗行业继续成为网络攻击的主要目标。泄露ePHI的数据泄露不仅削弱了公众信任,还会带来毁灭性的财务和声誉损失。尽管事件检测和响应一直主导着安全预算,但这一提案提出了新的方向:重心必须转向预防。
预防始于分割
网络分割,尤其是微分割,长期以来在人们的网络安全策略中未得到充分利用。HHS的提案强有力地阐明了它作为第一道防线的角色。以下是原因:
优势 | 描述
—|—
减少攻击面 | 通过将资产和处理或存储ePHI的系统与普通网络隔离,组织可以显著限制攻击者在环境中横向移动的能力。
防止数据泄露传播 | 分割创建了虚拟障碍,将攻击者限制在一个小(微)分段内,从而有效降低攻击者可以横向移动的能力,保护更高层的资产及敏感数据。
限制外部威胁暴露 | 尽管面向公共的组件不可避免,但如果在不进行分割的情况下将其连接到敏感系统,后果将不堪设想。正确的分割可以确保即便面向公共的系统被攻击,关键的ePHI依然安全。
实践与实施:医疗安全的下一步
HHS提案强调可扩展的分割解决方案,但紧迫性显而易见:立即行动,否则可能成为下一个头条新闻。 以下是组织有效采纳这些措施的示例路线图:
- 风险评估 :首先识别关键资产并绘制网络依赖图。评估现有网络架构中的弱点和高风险连接。
- 微分割 :超越传统的分割方法,对应用程序或工作负载实施细粒度的基于身份的访问控制。这确保只有授权用户和应用程序才能在特定