数字化转型使所有行业都面临更大的网络攻击风险,医疗保健行业也不例外。随着美国医疗保健组织出于数据共享、流程自动化和系统互操作性等目的增加对健康信息技术的依赖,它们的攻击面迅速扩大。这种迅速增加的攻击向量数量大大增加了网络安全风险。
健康行业最容易受到勒索软件攻击、数据盗窃和端点入侵。
- 勒索软件攻击可以通过相对简单的途径进入系统,例如网络钓鱼电子邮件。他们在医疗保健行业拥有更高的利益,因为患者护理机构的数据丢失不仅会造成不便,还会危及患者安全。网络犯罪分子可以利用这种紧迫性,利用这种紧迫性要求更高的金额和更快的付款来发布医疗记录等关键数据。
- 健康记录中的患者数据可以在暗网上出售,并用于实施利润丰厚的网络犯罪,例如保险欺诈和身份盗窃。
- 现代物联网 (IoT) 医疗设备的连接性使其成为黑客的理想攻击媒介——未经授权访问仅一个不安全的设备会危及所有连接设备和计算机系统的整个网络安全。
与金融业一样,美国医疗保健行业也受到严格监管。医疗保健提供者和其他相关实体必须实施有效的网络安全计划,以识别、减轻和防止网络攻击。
8 条医疗保健行业最关键的网络安全法规
2021 年,医疗保健行业的平均数据泄露总成本最高,为 923 万美元。此外,2021 年有 44,993,618 份健康记录被泄露或被盗,成为泄露记录第二高的年份。遵守医疗保健法规不仅可以帮助组织避免巨额罚款。合规性的另一个好处是以更一致和可衡量的速度 体验安全态势成熟度的可能性。通过公认的安全框架获得认证为组织提供了额外的可信度,并允许他们评估自己对法规的遵守情况。
这样的框架消除了从头开始设计网络安全路线图的劳动密集型任务。如果预算或时间不足,即使只是遵守框架要求,也有助于组织评估其安全状况并确定合规和不合规领域。对如何实现网络弹性的清晰愿景有助于确保解决所有能力差距,并为安全态势成熟设定明确的途径。以下是美国医疗保健组织在制定其信息安全政策时应牢记的 8 项主要网络安全法规和框架。
该列表没有按任何有意的顺序列出,并提供了有关每个法规/框架的以下信息:
- 合规是强制性的吗?
- 覆盖哪些国家?
- 不合规的处罚是什么(如果合规是强制性的)?
- 其他资源
1. 美国国家标准与技术研究院 (NIST) 改善关键基础设施的框架
美国国家标准与技术研究院 (NIST) 网络安全框架是一套全面的行业指南,旨在降低组织网络风险。NIST 发布了广泛的网络安全出版物,包括NIST 800-53。NIST 800-53 最初建立了仅适用于联邦和政府实体的安全控制和隐私控制。该出版物的最新修订版(修订版 5)具有更广泛的关注点,也适用于非政府实体,包括医疗保健部门。修订版 5 将隐私控制集成到安全控制中,为系统和组织创建了一套统一的控制。
NIST 合规性是强制性的吗?
所有联邦实体及其承包商都必须遵守 NIST 合规性。NIST 合规性对所有私营部门企业都是自愿的,包括私营医疗保健。
建议医疗保健组织实现 NIST 合规性以获得以下好处:
- 免费: NIST 框架是免费的,允许组织在不影响预算质量的情况下投资于更强大的网络安全计划。
使用经过验证的框架而不是从头开始创建一个框架,还可以使组织更好地将其资源分配给其他风险管理工作。
- 灵活性: NIST 框架可以在包括医疗保健在内的所有行业中采用。NIST 的适应性还允许它在组织扩展其网络安全计划时保持相关性。
- 集成:遵守多个框架和法规很快就变成了一项复杂的工作,尤其是在考虑额外的内部风险管理和合规要求时。NIST 通过无缝映射到其他框架和法规(如HIPAA和ISO 27001),最大限度地减少了由各种合规要求引起的许多复杂性。
NIST 涵盖哪些国家/地区?
任何国家的组织都可以采用 NIST,因为它符合全球公认的标准。
不遵守 NIST 的处罚是什么?
不遵守 NIST 会导致政府机构及其承包商和第三方供应商失去所有联邦资金。在美国,NIST 合规性是根据联邦信息安全管理法(FISMA) 强制执行的。
NIST 合规资源
以下资源是实现和维护 NIST 合规性的有用指南:
- 10 步清单:如何在 2021 年符合 GDPR (UpGuard)
- 您需要了解的有关 GDPR 合规性的所有信息(GDPR.EU)
2. 健康保险流通与责任法案 (HIPAA)
HIPAA是一系列美国联邦法律,于 1996 年签署生效,旨在规范该国健康信息的披露和保护。该法案由三个主要规则组成——隐私规则、安全规则和违规通知规则。HIPAA 隐私规则旨在定义和限制个人医疗保健信息可能被涵盖实体使用或披露的情况 。涵盖实体不能使用或披露受保护的健康信息 (PHI),包括电子健康保护信息 (ePHI),除非:
- 隐私规则允许或要求它;或者
- 信息主体(或代表)提供书面授权。
只有两种情况必须披露 PHI:
- 当个人或其代表要求访问它或披露信息时。
- 当 HHS 进行合规调查、审查或执法行动时。
安全规则规定,相关实体及其业务伙伴必须进行风险评估。风险评估通过突出合规领域并发现任何构成安全风险的合规漏洞来帮助组织实现和维护 HIPAA 合规性。违规通知规则规定,涵盖实体及其业务伙伴必须在违反不受保护的受保护健康信息后提供通知。
HIPAA 合规性是强制性的吗?
在美国,以下实体必须遵守 HIPAA:
- 健康计划
- 医疗保健机构
- 医疗保健票据交换所
- 商业伙伴
HIPAA 涵盖哪些国家/地区?
HIPAA 仅适用于美国。但是,大多数其他国家/地区都有自己的国家对等物。
不遵守 HIPAA 的处罚是什么?
不合规的涵盖实体可能会通过卫生与公众服务部 (HHS) 下属的民权办公室 (OCR) 承担民事处罚责任。每次违规的罚款从 100 美元到 50,000 美元以上不等,日历年上限为 1,500,000 美元。某些违反隐私规则的行为也可能会受到刑事起诉。
HIPAA 合规资源
以下资源是实现和维护 HIPAA 合规性的有用指南:
- HIPAA 隐私规则摘要和合规提示(UpGuard)
- HIPAA 隐私规则(HHS)
- HIPAA 安全规则(HHS)
- HIPAA 违规通知规则(HHS)
3. 互联网安全中心 (CIS) 关键安全控制
CIS 开发了关键安全控制措施,以保护私人和公共组织免受网络安全威胁。CIS 控制优先考虑一组 18 项(之前为 20 项)行动,以帮助保护组织免受网络攻击。这些控制包括:
- 独联体控制1:企业资产的库存和控制
- CIS 控制 2:软件资产的库存和控制
- CIS 控制 3:数据保护
- CIS Control 4:企业资产和软件的安全配置
- CIS 控制 5:账户管理
- CIS 控制 6:访问控制管理
- CIS 控制 7:持续漏洞管理
- CIS 控制 8:审计日志管理
- CIS 控制 9:电子邮件 Web 浏览器和保护
- CIS 控制 10:恶意软件防御
- CIS 控制 11:数据恢复
- CIS 控制 12:网络基础设施管理
- CIS 控制 13:网络监控和防御
- CIS 控制 14:安全意识和技能培训
- CIS 控制 15:服务提供商管理
- CIS 控制 16:应用软件安全
- CIS 控制 17:事件响应管理
- CIS 控制 18:渗透测试
CIS 控制映射到大多数主要安全框架,包括NIST 网络安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA和FISMA等法规。
是否必须遵守 CIS 控制?
不,CIS 控制不是强制性的,但建议用于增强医疗网络安全。对于高度监管的医疗保健行业,CIS 控制为加强网络防御和遵守其他强制性要求提供了一个简化的起点。
独联体控制涵盖哪些国家?
CIS 控制是国际公认的,适用于各种规模的组织。
CIS 控制合规资源
以下资源是实现和维护 CIS 控制合规性的有用指南:
- 有效网络防御的 CIS 控制是什么?(上卫)
- 18 项 CIS 关键安全控制(CIS)
4. 信息及相关技术控制目标 (COBIT)
COBIT 是由信息系统审计和控制协会 (ISACA) 开发的 IT 治理和管理框架。COBIT 的最新版本是 COBIT 2019。COBIT 2019 旨在通过六项(之前为五项)原则使 IT 活动与更广泛的组织目标保持一致:
- 提供利益相关者价值
- 整体分析
- 动态治理体系
- 治理与管理不同
- 为企业需求量身定制
- 端到端的治理系统
COBIT 2019 的全面覆盖确保医疗保健组织清楚地了解其网络安全风险的管理方式、监管合规要求以及投资于深入的信息安全政策的价值。使用 COBIT 成熟度模型,医疗保健组织还可以识别 IT 能力差距并有效地规划如何弥合它们。
COBIT 是强制性的吗?
不,COBIT 不是强制性的,但建议在医疗保健行业作为实现统一治理结构、简化护理和降低成本的基础。
COBIT 涵盖哪些国家/地区?
COBIT 是一个全球认可和使用的框架。
COBIT 资源
- 信息技术资源控制目标(ISACA)
- 使用 COBIT 2019 (ISACA)管理数字化转型
5. ISO/IEC 27001
ISO/IEC 27001(通常称为 ISO 27001)是一种被广泛采用的国际标准,用于通过信息安全管理实践守则实现数据安全监管。该标准由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 共同制定。它由一组标准组成,涵盖信息安全管理系统 (ISMS)、信息技术、信息安全技术和信息安全要求。
对于医疗保健组织而言,实施 ISO 27001是一种有效的方法来规范、管理和处理敏感数据,例如患者信息。一旦建立起来,ISMS 将确保有有效的流程来识别和减轻网络风险,并确保在发生安全事件时有效的事件响应计划。
该标准的最新版本是 2013 年发布的 ISO/IEC 27001:2013。
ISO 27001 是强制性的吗?
在大多数国家/地区,ISO/IEC 27001 不是强制性要求,但由于大量网络攻击和医疗保健行业的严格法规,强烈建议医疗保健组织实施 ISO 27001。
ISO 27001 涵盖哪些国家/地区?
ISO 27001 是国际公认的信息安全标准。
ISO 27001 资源
- 什么是 ISO 27001?2022 年简明扼要的解释(UpGuard)
- ISO 27001 实施清单(UpGuard)
- ISO/IEC 27001:2013 (ISO)
6. HITRUST(原Health Information Trust)通用安全框架(CSF)
HITRUST 联盟旨在通过其风险和合规管理框架和方法来“为所有行业和整个第三方供应链的全球组织保护敏感信息并管理信息风险”。该组织与公共和私营部门的多个行业的隐私、信息安全和风险管理领域的领导者合作。HITRUST 开发了HITRUST CSF,以帮助医疗保健组织及其云服务提供商清晰有效地展示其网络安全措施和合规性。该框架映射到美国医疗保健法HIPAA和HITECH 法案,这些法案强制执行有关整个行业的个人身份信息 (PII)的使用、披露和保护的要求。
HITRUST CSF 分为 19 个不同的域:
- 信息保护计划
- 端点保护
- 便携式媒体安全
- 移动设备安全
- 无线网络安全
- 配置管理
- 漏洞管理
- 网络保护
- 传输保护
- 密码管理
- 访问控制
- 审计日志和监控
- 教育、培训和意识
- 第三方保证
- 事件管理
- 业务连续性和灾难恢复
- 风险管理
- 物理和环境安全
- 数据保护和隐私
涵盖的健康实体及其云服务提供商也可以使用 HITRUST 作为衡量其他行业框架合规性的基准,例如ISO 27001、NIST、HIPAA、COBIT 和PCI DSS。
HITRUST 合规性是强制性的吗?
HITRUST 对组织不是强制性的。但是,任何生产、访问、存储或交换与个人健康相关的信息的组织都应实现 HITRUST 合规性,以明确证明其符合强制性行业法规,例如 HIPAA。这些组织包括医疗保健供应商、药房、医院、保险公司和医生办公室。作为一个备受推崇的安全框架,HITRUST 认证为这些组织建立了信誉。
HITRUST CSF 涵盖哪些国家/地区?
HITRUST CSF 是一项全球认证计划,可根据不同组织的类型、规模、系统和合规要求进行定制和调整。
HITRUST CSF 资源
以下资源是实现和维护 CIS 控制合规性的有用指南:
- HITRUST CSF - 我们的框架(HITRUST)
- HITRUST CSF v9.6.0 下载(HITRUST)
7. 质量体系法规 (QSR)
美国食品和药物管理局 (FDA) 在设计过程中对医疗设备实施更严格的网络安全要求。这些要求旨在降低设备因未经授权的访问而受损时的操作关闭风险。FDA 声明“网络安全是利益相关者的共同责任,包括原始设备制造商 (OEM)、医疗保健机构、医疗保健提供者和独立服务组织 (ISO)。”
除了利益相关者的共同责任外,医疗器械制造商还必须确保其风险管理、设计控制、维护、监督和响应流程整合有效的安全控制。示例控制包括实施设备用户身份验证和加密存储在设备上的任何患者数据以增强数据保护。QSR 进一步定义了设备制造商必须遵循的要求,以保护连接的医疗设备免受网络犯罪分子的侵害。设备制造商必须确保设计更改得到验证和验证,其中包括针对已识别漏洞的软件修补。
QSR 合规性是强制性的吗?
所有医疗器械制造商都必须遵守 QSR 以解决与其产品相关的所有网络安全风险。虽然 QSR 合规性不是其他医疗保健实体的直接责任,但 FDA 建议“所有感兴趣的利益相关者 [应该] 就可用于有效开发、验证和实施医疗设备软件变更的方法或途径进行合作。”
QSR 涵盖哪些国家/地区?
任何希望在美国销售其产品的医疗器械供应商都必须遵守 QSR。
QSR 不合规的处罚是什么?
FDA 可以对不合规的组织实施几种不同类型的处罚,从警告信到对公司处以高达 500,000 美元的罚款和刑事起诉等严重程度不等。
QSR 资源
以下资源是实现和维护 QSR 合规性的有用指南:
- 加强与医疗器械服务相关的网络安全实践:挑战与机遇(FDA)
- FDA 在医疗器械网络安全(FDA)中的作用
- CFR - 联邦法规第 21 篇(FDA)
8. 支付卡行业数据安全标准(PCI DSS)
支付卡行业数据安全标准 (PCI DSS)是一组旨在防止信用卡欺诈和保护信用卡持有人免遭个人数据盗窃的标准。所有接受商品和服务支付卡的医疗保健组织都必须遵守 PCI DSS。PCI DSS 概述了用于保护信用卡数据生命周期三个主要阶段的控制措施,包括:
- 信用卡数据处理
- 信用卡数据存储
- 信用卡数据传输
PCI DSS 覆盖哪些国家/地区?
PCI DSS 是国际公认的标准。
PCI DSS 合规性是强制性的吗?
任何存储、处理或传输持卡人数据的组织都必须遵守法规。
PCI DSS 不合规的处罚是什么?
不合规的组织将面临每月 5,000 至 100,000 美元的罚款,直到他们实现经验证的合规性。
PCI DSS 合规性资源
以下资源是实现和维护 PCI DSS 合规性的有用指南:
- 无痛的 PCI 合规性(UpGuard)
- 2021 年网络安全合规监控最佳实践(UpGuard)
- 支付卡行业 (PCI) 数据安全标准自我评估问卷(PCI 安全标准)
如何保持医疗保健部门的网络安全合规性
以下网络安全最佳实践可以帮助医疗保健组织实现并保持对法规和公认框架的遵守。
实施零信任架构 (ZTA)
零信任架构将所有网络活动视为安全威胁,直到用户证明并非如此。该架构的审查性质增加了额外的安全层,防止未经授权访问敏感信息。ZTA 现在是乔·拜登的网络安全行政命令下的一项强制性要求。
实施第三方风险管理 (TPRM) 解决方案
TPRM 解决方案通过安全评估、安全评级和攻击面的实时扫描来评估组织的第三方和第四方生态系统的安全状况。理想的 TPRM 解决方案还应根据监管要求识别和映射供应商的安全评估响应,以发现合规和不合规领域。
识别和修复数据泄漏
数据泄露不仅会使数据泄露发生得更快,还会暴露可能违反监管准则的敏感信息。数据泄漏不仅是即将发生数据泄露的主要指标,而且可能违反监管要求。有效的数据泄漏检测解决方案可以帮助在内部和第三方攻击面中实时识别这些暴露,以确保合规性。
投资攻击面监控解决方案
攻击面监控解决方案可以比手动方法更快地识别导致数据泄露的漏洞。医疗保健组织可以利用这项技术来改善其安全状况并满足大多数行业法规严格的网络弹性期望。