医疗行业网络安全：确保及时应对的重要性

Key Takeaways

在医疗行业，及时应对网络安全事件不仅能够减少从网络攻击中恢复的时间，而且符合《健康保险流通与问责法案》（HIPAA）的要求，根据美国卫生与人类服务部公民权利办公室（OCR）的网络公报，相关单位必须实施政策来应对事件。

OCR对所有行业网络攻击事件的上升表示担忧。2021年，报告给OCR的所有医疗数据泄露事件中，有约74%涉及黑客攻击或IT事故，这使得黑客成为“受保护健康信息隐私和安全的最大威胁”。

在医疗领域中，近期一系列的网络攻击造成电子健康记录的停机。例如，位于德克萨斯州的因网络攻击而遭遇长达三周的停机，不仅导致初期护理转诊，还造成患者数据的盗窃。事件发生后，患者还遭遇了企图。

与此同时，CommonSpiritHealth于10月3日遭遇了，导致其在全美700个护理场所和142家医院发生了护理服务中断。当地媒体指出，许多受影响的医院在攻击几周后仍在努力恢复。自10月17日以来，CommonSpirit还未发布更新。

根据一些健康系统在经历几周网络停机后的财务报告，网络攻击造成的损失每天可能超过100万美元。造成了1.227亿美金的收入和恢复损失。

“在合规实体的生命周期内，安全事件几乎不可避免，”OCR官员表示。遵循HIPAA要求的安全事件响应计划，可使提供者有效地转变和恢复潜在的网络事件。

这些计划应包括识别和响应安全事件的方法，以及减轻可能的有害影响并记录每个事件和其结果。

事件响应流程应从组建有明确角色的团队开始，并对其进行有效反应事件的培训。OCR建议参考，以了解团队成员的考虑事项，包括确定在事件发生时与外部合作伙伴的联系点。

一旦团队组建完毕，成员们应定期测试事件处理程序，例如测试不同类型的潜在安全场景。与大多数安全计划类似，这些“程序应根据测试和实际安全事件中的经验教训进行更新，以提高团队的响应能力和有效性”。

OCR还提醒提供者，HIPAA安全规则提供了有关更好保护免受网络威胁的步骤的详细信息。受保护实体还将在健康行业网络安全实践中找到支持文件，该文件按实践规模划分，包括常见威胁的详细信息。

OCR强调，组织需要注意事件后的报告要求。即，HIPAA的泄露通知规则“要求受保护实体在发现后不得延误且在60天内向受影响的个人、OCR及（在某些情况下）媒体报告影响500人或更多人的泄露。”

最重要的是，60天的报告时间“从事件首次被知晓时开始，而不是从事件调查完成时，即使最初不清楚该事件是否符合规则中定义的泄露。”在某些情况下，“在第