健康行业网络安全实践更新

关键要点

• 健康行业网络安全实践（HICP）与支持性减轻资源一起更新，增加了两个额外卷。
• 更新由美国卫生与公众服务部405(d)项目和健康部门协调委员会网络安全工作组（HSCC CWG）主导。
• HICP新的指导材料着重于提升网络安全的有效和经济的方法。
• 该更新包含最新的网络安全威胁，如社交工程、勒索软件等。
• HHS推出免费的网络安全培训，旨在保护患者安全并增强员工对网络安全的意识。

更新后的健康行业网络安全实践（HICP）是针对医疗提供者组织的一个重要网络安全资源，最近添加了两个新的卷和相关的减轻资源。此次更新由美国卫生与公众服务部（HHS）405(d)项目和健康部门协调委员会（HSCC）网络安全工作组共同推动，体现了联邦政府与健康领域领袖之间的联合努力，以应对该行业最紧迫的网络安全挑战。

HICP最早于2018年发布，基于HHS工作组的全面行业分析，详细描述了该部门面临的主要漏洞。这个备受赞誉的五卷框架是与150多位医疗和网络安全领袖合作创建的。

尽管这些措施是自愿的，但初始版本的设计旨在帮助医疗专业人士了解网络安全语言，并开始实施和采用基于NIST网络安全框架的网络实践，而不单单考虑《健康保险携带与问责法案》。

此次在4月17日的更新建立在之前HHS网络任务组提出的建议之上，分析显示在2018年之前，行业面临的一个主要问题是人员配备，四分之三的医疗机构没有安全领导。

更新材料的重点是提供最相关和成本效益高的方法来增强整个企业的网络安全，包括当前该行业面临的主要威胁：社交工程、勒索软件、设备的盗窃或丢失、数据丢失以及针对医疗设备的网络攻击——所有这些都可能影响患者安全。

目前特别关注的还有社交工程及其对该行业的重大风险，因为内部风险在过去几年里一直是医疗组织的一个重要入侵点。

免费的HHS网络安全培训旨在保护患者安全

对于艾瑞克·德克（Erik Decker），因特山健康（IntermountainHealth）的副总裁兼首席信息安全官（CISO），同时也是健康部门协调委员会网络安全工作组的主席来说，更新后的HICP对医疗机构来说至关重要，帮助它们将“稀缺资源应用于最高威胁”。这将为服务不足的医院提供最佳的网络投资回报。

“保持对不断变化的网络威胁的敏感性，对于保护患者安全至关重要，”德克在声明中补充道。

此次发布旨在提高意识，并通过更新的指导和平台提供免费网络安全培训，以降低这些关键领域的风险。此平台将增强整个企业对这些威胁的认识。

这是HHS提供的首个免费网络安全培训项目，官员表示，反映了他们支持该行业持续网络防御工作的承诺。该新网站紧随的推出，旨在帮助临床医生支持用户的基本保护措施及其在保持数据安全中的角色。

HHS还发布了当前网络准备状态的新报告，其中包括参与医院的回顾，依据这些标准进行基准测试。该分析基于数百所医院提供的数据，旨在识别最佳实践以及医院领域网络韧性改进的空间。

官员表示，今天的努力是拜登政府持续关注保护美国关键基础设施免受网络威胁的部分。

“HHS副部长安德雷亚·帕尔默（AndreaPalm）在声明中表示，“网络攻击是我们医疗系统面临的最大威胁之一，而最佳防御方法是预防。”因此，这些培训资源应被视为持续基本安全意识培训的资产。

通过免费提供这些视频，“医院和最易受攻击的医疗组织可以采取措施增强韧性，”帕尔默补充道。“这也是HHS继续致力于与医院、国会和行业领导者合作，保护美国患者的一部分。”

呼吁医疗机构审查有关最新及最