电子新闻独家

2023年网络安全风险防范:三大缺口需要填补

格里·布拉斯著

随着网络攻击的持续和风险的上升，医疗保健领域在隐私和安全方面的投资将出现爆炸式增长。了解需要加强的三个最重要的风险领域，并为2023年的激增做好准备。

最近的一份报告显示，网络安全投资是医疗行业高管的首要任务调查由Bain & Company与KLAS Research合作完成。除了收入周期管理软件和患者流程自动化之外，在网络攻击浪潮和风险上升之后，隐私和安全投资成为2023年技术投资的重点。

例如，根据同一份报告，自2020年以来，数据泄露事件增加了近40%，而且成本越来越高。医疗保健行业最近发生的一起网络攻击事件——CommonSpirit health遭受勒索软件攻击，导致电子病历系统被迫关闭，患者预约被取消，这突显了立即防范网络安全风险的必要性。如果勒索软件可以攻击142家医院的医疗系统，它就可以攻击我们所有人。

供应商组织在未来一年需要注意三个具体的差距:供应商风险管理(VRM)、内部审计和灾难恢复计划。

供应商风险管理程序不足
到目前为止，2022年向卫生与人类服务部(HHS)民权办公室报告的大多数医疗保健数据泄露都涉及第三方供应商。与供应商相关的违规行为有所增加，这意味着不法行为者的目标是商业伙伴，而不是卫生系统。这一趋势也提升了一个有效的VRM程序作为组织完整的网络安全和灾难恢复业务连续性(DRBC)计划的关键组成部分的重要性。

在更新VRM程序时，需要考虑以下三点。

•应每年对所有捕获、存储、接收、交换或使用组织电子保护健康信息(ePHI)的第三方供应商进行评估，并将其划分为低、中或高风险。

•第三方供应商的类型不如公司如何使用ePHI重要。

•2023年，将有更多第三方供应商进入医疗保健生态系统，包括用于患者疾病管理的数字应用程序、家庭医院技术、收入周期自动化等。

美国国家标准与技术研究所将在2023年将其网络安全框架从1.0版本更新到2.0版本。beplay最新备用网站对新框架的遵从性应该是组织的第三方供应商的另一个评估因素。

不完整的风险登记册
卫生保健人员短缺的问题有据可查。全国各地的组织都面临着巨大的人才缺口。这通常包括IT资源不足，无法进行内部隐私和安全审计或降低网络安全风险。

当内部网络安全审计被推出时，更新组织的风险登记册是一个实际的下一步。一份完整的风险登记册为审计提供了重要信息，详细说明了可能影响业务的风险，并为各部门提供了未来一年的自主路线图。

组织的风险登记册至少应包括以下内容:

•所有已识别风险的清单;
•根据可能性和/或影响对风险进行分级;
•应对每种风险的最佳行动方案;和
•有针对性的风险清单，需要额外的关注来管理。

风险登记和VRM程序都是完整的DRBC计划的组成部分。现在也是更新2023年DRBC的时候了。

过时的灾难恢复业务连续性计划
正如上文提到的CommonSpirit健康漏洞所经历的那样，延长停机时间是网络安全攻击后的常见结果。当停机时间延长时，患者护理应用程序、生物医学设备、ePHI和患者安全都面临风险。

DRBC计划更新应解决系统访问中断时间延长的问题——甚至超过三个完整工作日。以下是企业2023年计划中需要考虑的三个新问题。

•每个部门的停机时间延长是什么样的?
•延长停机时间对业务的影响分析是什么?
•需要什么额外的教育来准备延长停机时间?

上述三个缺口是网络安全风险防范活动的坚实起点。为了进一步支持医疗保健行业的努力，HHS制定并不断更新医疗保健行业网络安全实践(HICP)。快速入门指南。该指南是所有卫生保健组织的宝贵资源。

HICP指南是必不可少的网络安全风险预防手册
HICP指南旨在帮助小型、中型和大型卫生保健提供者组织优先考虑重要事项，并支持国家卫生部门的网络准备工作。指南中提到的所有5种HICP威胁和10种控制措施应在2023年继续强调。

HICP是医疗保健组织的自愿项目。法律并未要求使用HICP。这是一种胡萝卜激励，以改善医疗保健网络安全预防，而不是一根大棒。对于那些至少有12个月遵守HICP指导方针的组织来说，有显著的好处。beplay最新备用网站

•减轻任何HIPAA罚款;
•尽早有利地终止任何HIPAA审核;和
•在与HHS的任何HIPAA解决协议中放宽补救措施。

利用HICP对网络安全风险进行优先排序，并结合医疗保健高管计划的新技术投资，将使医疗保健提供者组织在未来一年打下坚实的基础。风险总是无处不在，但采用网络安全医院文化可以让医疗系统和医生团体保持领先地位，并保护他们的组织。

- Gerry Blass是ComplyAssistant该公司提供治理、风险和合规软件以及医疗保健网络安全服务解决方案。beplay最新备用网站布拉斯是新泽西州HIMSS隐私、安全和合规委员会的联合主席，并参加了包括纽约、新泽西和特拉华谷在内的国家和地方分会活动beplay最新备用网站。他定期为医疗保健合规和健康IT出版物撰写文章，并且是HIMSS, HFMbeplay最新备用网站A, NJPCA, NJAMHAA和HCCA行业协会活动的活跃成员，贡献者和演讲者。