潜水简报:根据单位问责局周四发布的一份报告,卫生和公众服务部面临着减轻医疗保健行业网络安全风险的挑战。该部门尚未实施单位监管机构此前建议的政策,包括跟踪行业对勒索软件特定网络行为的采用情况,或评估物联网或运营技术设备的风险。美国单位问责局表示,在卫生和公众服务部填补这些空白之前,该部门可能无法有效地领导网络安全行业,这对提供者和患者护理来说是一个潜在的风险。潜水见解:
据监管机构称,尽管卫生和公众服务部表示努力限制该行业的网络风险,但该部门尚未制定有助于该行业提高安全性的政策。该报告发布之际,医疗保健行业正面临日益严重的网络攻击和数据泄露问题,包括今年早些时候对UnitedHealth旗下技术公司和索赔处理商Change healthcare的高调网络攻击。监管机构发现了几个例子,他们说卫生和公众服务部在降低风险方面面临挑战。
在一份报告中,美国卫生与公众服务部表示,医院报告采用了国家标准与技术研究所网络安全框架下近71%的做法来检测、应对网络攻击并从中恢复。但美国单位问责局指出,该部门没有跟踪该框架对勒索软件的具体标准,勒索软件是一种拒绝用户访问其数据的恶意软件,对医疗机构的威胁越来越大。美国单位问责局写道:“尽管卫生和公众服务部官员告诉我们,他们将能够评估框架中关键概念的实施情况,但该部门没有提供其努力的证据。”。
“如果没有充分意识到该行业对网络安全实践的采用,HHS就有可能无法在需要的地方投入资源。”该机构补充说,卫生和公众服务部尚未评估其支持工具的有效性,如指导文件、培训和威胁简报。它也没有对物联网或运营技术设备的风险进行全行业评估。物联网是指允许一系列设备之间进行网络连接和交互的技术,而操作技术是与物理环境交互的系统。
美国单位问责局表示,如果没有评估,卫生和公众服务部将不知道需要采取哪些新的安全措施来应对不断变化的威胁。与此同时,CMS制定了网络要求,以保护其与州机构共享的数据,但这些标准与其他与州密切合作的联邦机构(如社会保障局)相冲突。监督机构在报告中写道:“相互冲突的参数可能会给州官员的时间和资源带来不必要的负担。”。“这反过来可能会导致对其他重要网络安全工作的关注减少。”
截至发稿时,卫生和公众服务部没有回应置评请求。