5月/ 6月
2021
隐私与安全:新法律改变了安全格局
作者:泰·格林哈尔
郑重声明
第三十三卷第三页
作为2009年《美国复苏与再投资法案》的一部分,旨在促进电子病历的采用的《HITECH法案》希望通过对卫生系统提供奖励和征收罚款来实现其目标。事后诸葛亮,很明显,整个行业受益于电子病历的广泛采用。然而,同样清楚的是,如果更多地考虑到安全问题,卫生保健的情况会好得多。
快速采用电子健康档案所带来的威胁和漏洞使医疗保健成为全球黑客的首要目标。理解“Fullz”这个词的含义有助于解释其中的原因。
No. 1 With a Bullet
黑客侵入系统,窃取数据,然后在暗网上出售,在暗网上偷来的信用卡价值50美分,医疗记录价值1000倍。Fullz是一个用来将黑客出售的数据商品化的术语。简介越完整,信息就越“丰富”,从而增加其价值。医疗记录包含比任何其他个人记录更多的数据,包括财务、临床和保险。
被盗的数据可以用于无数的欺诈计划,从身份盗窃到抵押贷款和保险欺诈。因为受保护的实体不需要在60天内报告违规行为,所以坏人在发布警报之前有时间。
即使是最坚固的防御也可能不够。犹他州的临床工程师迈克•鲍尔斯(Mike Powers)表示:“即使一个组织一直遵循最佳实践,也会出现一些漏洞和事件。”
影响最大
更糟糕的是,医疗行业在违规成本方面也名列前茅。商业损失、名誉损害和诉讼加重了民权办公室(OCR)施加的惩罚,包括罚款、费用、审计和纠正行动计划。
这些处罚旨在激励受保护实体和业务伙伴改善其网络安全状况并防止违规行为。鲍尔斯说:“我认为(这些处罚)的目的是惩罚因疏忽而泄露的PHI(受保护的健康信息)。”“我们有很多很多设备,上面有15000条记录。即使遵循了最佳实践,一个漏洞也可能很快使一个组织破产。”
黑客变得越来越聪明,越来越富有,这意味着对手变得越来越强大,越来越足智多谋。只要有决心,黑客就能侵入他们所瞄准的任何医疗系统或商业伙伴。对这些机构施加的惩罚并没有产生保护行业和保护患者信息的预期效果。
尽管供应商做出了努力,但他们仍然是最受攻击的行业,占所有报告的违规行为的79%医疗IT安全.2019年,美国遭受了前所未有的无情勒索软件攻击,影响了764家医疗服务提供商。自2020年11月1日以来,全球针对医疗机构的攻击数量增加了45%以上,而针对其他行业的攻击数量增加了22%。
从2018年到2020年,500条或更多的网络安全漏洞稳步增加,从2018年的371条增加到2020年的618条。2020年,OCR通过解决协议或纠正行动计划解决了20起案件。在过去三年里,OCR达成的和解总额超过5500万美元。更重要的是,这个数字没有反映与持续审计、对运营的影响、法律费用和纠正行动计划相关的成本。
新的网络安全法
为了进一步激励医疗保健行业更积极地采用最佳实践,AHIMA、美国医学协会和医疗保健信息管理主管学院提出了一项立法,该立法将认可组织为保护患者安全和数据所做的真诚努力。
因此,被称为“安全实践认可”的7898号人力资源法案于今年早些时候成为法律。《HITECH法案》修正案允许卫生与公众服务部(HHS)确定所涉实体和业务伙伴是否采用了网络安全最佳实践。在确定财务和业务补救措施的违约调查期间,法律适用。
对于能够提供12个月的安全最佳实践文档的组织,将考虑减少罚款、审计和违规后监督。
法律将做到以下几点:
•减轻罚款1176条款下的社会安全法案》(13410年修订的部分);
•根据第13411条,提前有利地终止审计;和
•减轻适用实体或商业伙伴与HHS之间就解决潜在违反《HIPAA安全规则》(《联邦法规》第45卷第160部分及该卷第164部分A和C子部分)的任何协议中本应约定的补救措施。
一些行业专家担心这项法律实际上是“HIPAA安全港”。虽然从技术上讲,它似乎通过提供减少法律或监管责任的条款来满足定义,但HHS专门在加密和PHI的去识别方法方面使用了“安全港”一词。
在使用“安全港”这个术语时,业界应该谨慎行事,因为它可能会被误解,并使那些已经在努力理解OCR指南的组织感到困惑。一个更相关的问题可能是,“什么是公认的安全实践?”
公法116-321将公认的安全实践定义为“根据美国国家标准与技术研究院(NIST)法案第2(c)(15)条制定的标准、指南、方法、程序和流程,根据2015年《网络安全法》第405(d)条颁布的方法,以及根据其他法定机构制定、认可或颁布的其他解决网络安全问题的计划和流程。”此类做法应由受保实体或商业伙伴根据《HIPAA安全规则》(《联邦法规法典》第45卷第160部分及该卷第164部分A、C子部分)确定。”
大多数医疗保健隐私、合规性、IT和信息安全部门都熟悉beplay最新备用网站NIST及其各种资源,例如网络安全框架(CSF)和隐私框架,它们提供了一个框架,用于有效管理风险,并在组织内应用技术和操作控制,以提高HIPAA合规性并降低风险。OCR甚至在NIST CSF和HIPAA安全规则之间建立了一个交叉通道,这是一个有助于覆盖两者的路线图,认为它们在提高安全性和合规性方面更有效。beplay最新备用网站
然而,《网络安全法》第405(d)条下的方法却鲜为人知。2017年,该部门推动了对健康行业的全国风险评估,推荐了降低风险的行业最佳实践。这些适用于小型、中型和大型组织的最佳实践可以在名为“医疗保健行业网络安全实践:管理威胁和保护患者”(HICP)的四部分系列文章中找到。
HICP中描述的做法是新法律中提到的建议。
“这项法律的重要性怎么强调都不为过,”医疗信息管理学院总裁兼首席执行官拉塞尔·p·布兰泽尔说。“通过承认医院为改善其网络态势所做的工作,它使我们远离了使医院受害的惩罚性环境。”
Julie Chua是HHS首席信息官办公室的治理、风险和合规风险管理部门经理,也是405(d)工作组的beplay最新备用网站公共联合负责人,该工作组制定了这项新法律中引用的文件,她说:“我们将继续与HHS合作伙伴合作,确定影响和方法,以确保所有HHS共同努力应对这项新立法。我们希望鼓励405(d)工作组成员继续开发新的资源,并发表意见,帮助确定医疗保健和公共卫生部门的网络安全最佳做法。”
- Ty Greenhalgh, Cyber Tygr首席执行官,也是美国医疗保健和公共卫生部门协调委员会联合网络安全工作组的活跃成员。
