新的HIPAA规则要求72小时数据恢复和年度合规审计

美国卫生与公众服务部 (HHS) 民权办公室 (OCR)针对医疗保健组织提出了新的网络安全要求，旨在保护患者的数据免受潜在的网络攻击。

民权办公室表示，提案旨在修改1996年《健康保险流通与责任法案》（HIPAA），是加强关键基础设施网络安全的更广泛举措的一部分。

该规则旨在通过更新 HIPAA 安全规则的标准来加强对电子受保护健康信息 (ePHI) 的保护，以“更好地应对医疗保健领域日益增加的网络安全威胁”。

为此，该提案除其他事项外，要求各组织对技术资产清单和网络图进行审查，识别可能对电子信息系统构成威胁的潜在漏洞，并建立在72小时内恢复某些相关电子信息系统和数据的丢失的程序。

其他值得注意的条款包括至少每 12 个月进行一次合规审计、强制对静态和传输中的 ePHI 进行加密、强制使用多因素身份验证、部署反恶意软件保护以及从相关电子信息系统中删除无关软件。

拟议规则制定通知 (NPRM) 还要求医疗保健实体实施网络分段，设置备份和恢复的技术控制，以及至少每六个月进行一次漏洞扫描和至少每 12 个月进行一次渗透测试。

目前，医疗保健行业继续成为勒索软件攻击的有利可图的目标，这不仅带来财务风险，而且还会破坏对诊断设备和包含患者医疗记录的关键系统的访问，从而危及生命。

微软在 2024 年 10 月指出：“医疗保健组织收集和存储极其敏感的数据，这很可能导致威胁行为者在勒索软件攻击中瞄准它们。”“然而，这些设施面临风险的一个更重要的原因是可能会产生巨额财务损失。”

“受勒索软件影响的医院附近的医疗机构也受到影响，因为他们需要护理的患者数量激增，但无法紧急为他们提供支持。”

根据网络安全公司 Sophos 汇编的数据，2024 年 67% 的医疗保健组织受到勒索软件的攻击，高于 2021 年的 34%。大多数此类事件的根本原因都可以追溯到利用的漏洞、泄露的凭据和恶意电子邮件。

此外，53% 的医疗机构在数据被加密后支付了赎金以恢复访问权限。平均赎金金额为 150 万美元。

针对医疗保健实体的勒索软件攻击率的增加也伴随着恢复时间的延长，只有 22% 的受害者在一周或更短的时间内从攻击中完全恢复，与 2022 年的 54% 相比大幅下降。

Sophos 首席技术官 John Shier表示：“医疗保健信息的高度敏感性和对可访问性的需求始终是网络犯罪分子瞄准的重点。不幸的是，网络犯罪分子已经了解到，很少有医疗保健组织准备好应对这些攻击，恢复时间越来越长就是明证。”

上个月，专注于全球公共卫生的联合国机构世界卫生组织（WHO）将针对医院和医疗保健系统的勒索软件攻击定性为“生死攸关的问题”，并呼吁国际合作打击网络威胁。

— 欢迎关注