HHS的新网络安全指南是未来新方向的原因

2024-02-13 来源: https://medcitynews.com/2024/02/google-cloud-hhs-cybersecurity/ 129

网络攻击仍然是对医疗保健提供者的巨大威胁,黑客的策略日益复杂。

政策制定者正在努力应对这种情况。例如,纽约州州长凯西·霍楚尔在11月发布了一套拟议的网络安全法规,要求医院制定新的政策和程序,以保护自己免受日益加剧的网络威胁。几周前,卫生和公众服务部发布了指导意见,概述了医疗保健部门的自愿网络安全绩效目标。虽然这一初步指导是自愿的,但这些目标可能会被用于为即将到来的卫生和公众服务部规则制定提供信息。

HHS在其指导意见中概述了加强供应商网络安全的10个关键目标:强制进行基本的网络安全培训,减少已知漏洞,提高电子邮件安全性,使用多因素身份验证,确保强加密,要求唯一凭据,吊销离职员工的凭据,分离用户和特权帐户,制定事件应对计划,并审查供应商的网络安全。

谷歌云的CISO办公室主任Taylor Lehmann以及athenahealth和Tufts Medicine的前CISO指出,这些指导方针是美国建立更安全、更有弹性的医疗系统的起点,其他国家也在国际上采取类似措施。但他也认为,这些监管努力必须与行业合作和信息共享相结合,才能推动真正的长期变革。

莱曼解释道:“网络绩效指南的好处在于,它指明了下一步的反弹方向,以及组织应该致力于什么的标准和期望。它可能不是今天,但卫生和公众服务部文件上的内容很可能会成为实际最终规则制定或成为法律的新监管要求中的内容。”

一些医院比其他医院更愿意实现这些网络安全目标。虽然许多医院已经开始了数字化转型,但还有很多其他医院仍在使用传统的IT系统。

莱曼指出,准备程度取决于医院的规模、资金和IT安全团队的资源。

他宣称:“虽然基本目标看起来像是基本级别的安全性,比如多因素身份验证和使用唯一凭据,但它们显然没有得到正确实施,因为这些仍然是该行业漏洞的主要原因。”。“基础并不总是那么简单——它们实际上可能非常难。”

莱曼建议,全面而言,医院应专注于加强对身份作为控制机制的使用。他表示,看到卫生和公众服务部的指导意见中强调的这一点令人鼓舞。

莱曼强调了进行渗透测试的重要性,因为这可以帮助医疗保健组织识别攻击者可以进入的高影响、低成本的方式,以及需要立即实施的同样有益但简单的补救措施。

“测试和修复,直到该组织达到安全控制的基线,这将使其有一些喘息的空间考虑优先考虑自愿目标,如卫生和公众服务部的网络安全绩效目标。需要定期、持续地建立对系统的信任,尤其是那些以前没有评估过的系统,”他表示。

莱曼解释说,渗透测试、红队和其他形式的技术评估为需要立即解决的问题提供了现实的视角。在他看来,在进行更多战略性对话之前,供应商需要开始定期执行这些流程。

责编: editor
分享到: