重磅！HIPAA 新规拟要求医疗机构 72 小时内恢复数据，每年进行合规审计！

美国卫生与公众服务部 (HHS) 民权办公室 (OCR) 近日发布了一项重磅提案，拟对医疗保健机构提出新的网络安全要求，旨在加强患者数据的安全保护，防范潜在的网络攻击！

HIPAA 法案重大更新，加强医疗行业网络安全

OCR 表示，这项提案旨在修改 1996 年颁布的 《健康保险流通与责任法案》(HIPAA)，是加强关键基础设施网络安全更广泛举措的一部分。

该规则旨在通过更新 HIPAA 安全规则 的标准来加强对 电子受保护健康信息 (ePHI) 的保护，以“更好地应对医疗保健行业日益增长的网络安全威胁”。

新规要点：72 小时数据恢复、年度合规审计等

该提案的核心内容包括：

• 72 小时数据恢复：
   要求医疗机构建立相关程序，确保在 72 小时内 恢复某些相关电子信息系统和数据的丢失。
• 年度合规审计：
   要求医疗机构 至少每 12 个月 进行一次合规审计。
• 技术资产和网络审查：
   要求医疗机构对技术资产清单和网络拓扑图进行审查，识别可能对电子信息系统构成威胁的潜在漏洞。
• 强制加密：
   强制要求对静态和传输中的 ePHI 进行加密。
• 多因素身份验证 (MFA)：
   强制使用多因素身份验证。
• 反恶意软件保护：
   部署反恶意软件保护措施，并删除相关电子信息系统中无关的软件。
• 网络隔离：
   要求医疗实体实施网络隔离。
• 备份和恢复：
   建立备份和恢复的技术控制措施。
• 漏洞扫描和渗透测试：
  至少每六个月 进行一次漏洞扫描，至少每 12 个月 进行一次渗透测试。

医疗行业成网络攻击重灾区，勒索软件肆虐

近年来，医疗行业一直是网络攻击的重灾区，尤其是 勒索软件攻击。这些攻击不仅会造成财务损失，还会扰乱诊断设备和包含患者病历的关键系统的访问，从而危及患者的生命安全。

微软在 2024 年 10 月指出：“医疗机构收集和存储极其敏感的数据，这可能是威胁行为者将其作为勒索软件攻击目标的原因。然而，这些机构面临风险的一个更重要原因是潜在的巨额经济利益。”

“位于受勒索软件影响的医院附近的医疗机构也会受到影响，因为它们会遇到需要护理的患者激增，并且无法紧急支持他们。”

数据触目惊心：攻击频率上升，恢复时间延长

根据网络安全公司 Sophos 编译的数据，2024 年有 67% 的医疗机构遭到勒索软件攻击，而 2021 年这一比例为 34%。大多数此类事件的根本原因可以追溯到 漏洞利用、凭据泄露和恶意电子邮件。

此外，53% 的数据被加密的医疗机构支付了赎金以恢复访问权限。赎金支付的中位数为 150 万美元。

针对医疗机构的勒索软件攻击频率上升的同时，恢复时间也在延长，2024 年只有 22% 的受害者能够在一周或更短的时间内完全从攻击中恢复，而 2022 年这一比例为 54%。

Sophos 首席技术官 John Shier 表示：“医疗信息的极其敏感性和可访问性需求将始终使医疗行业成为网络犯罪分子的靶子。不幸的是，网络犯罪分子已经了解到，很少有医疗机构准备好应对这些攻击，这一点从日益延长的恢复时间中可以看出。”

世卫组织发声：呼吁国际合作应对威胁

上个月，联合国负责全球公共卫生的机构世界卫生组织 (WHO) 将针对医院和医疗系统的勒索软件攻击描述为 “生死攸关的问题”，并呼吁国际合作应对这一网络威胁。

此次 HIPAA 新规的提出，正是美国政府加强医疗行业网络安全的重要举措。我们期待新规的正式实施，并呼吁全球各国共同努力，打击网络犯罪，保护患者数据安全！