美国参议员提议立法要求最低安全标准

根据美国两党参议员小组提出的新立法,美国医院和医疗保健组织将被要求采用多因素身份验证(MFA)和其他最低网络安全标准。美国参议员Bill Cassidy(路易斯安那州共和党人)、Mark Warner(弗吉尼亚州民主党人)、John Cornyn(得克萨斯州共和党人,得克萨斯州民主党人,以及Maggie Hassan(新罕布什尔州民主党人。

)周五提出的《2024年医疗保健网络安全和弹性法案》[PDF]将要求卫生与公众服务部(HHS)和网络安全与基础设施安全局(CISA)在医疗保健和公共卫生领域的网络安全方面进行更好的协调。这包括给HHS一年的时间来实施网络安全事件响应计划,并更新通过该部门的违规报告门户公开显示的信息类型。目前,根据《美国健康保险流通与责任法案》(HIPAA)被视为“受保实体”

的所有医疗机构,如果被违反,都必须通知HHS。新法律将要求违规实体报告有多少人受到安全事件的影响。它还将要求门户网站包括“对提供违规通知的受监管实体采取的任何纠正措施”的详细信息,以及在违规调查期间“考虑的公认安全做法”,以及卫生和公众服务部部长认为必要的任何其他信息。

虽然MFA和受保护健康信息的加密是拟议立法中唯一具体的信息安全实践,但它将要求受保护的实体及其业务合作伙伴采用卫生和公众服务部部长确定的“其他最低网络安全标准”。然后,医疗机构必须进行审计,包括渗透测试,以确保其安全流程和保护措施达到标准。

美国大型医疗支付网络在勒索软件攻击9个月后恢复系统
医疗保健组织Equinox通知21K名患者和工作人员数据被盗
随着患者护理受到影响,勒索软件在急诊室中产生了连锁反应
特朗普利用边境鹰派领导国土安全部。诺姆的“热情”会延伸到数字领域吗?

该法案中的其他一些条款将为卫生部门所有者和运营商提供网络安全最佳实践的联邦培训,提供赠款以帮助提供商改善其安全态势,并为农村诊所提供有关数据泄露预防、弹性和与联邦机构协调的额外支持。卡西迪说:“对我们医疗保健部门的网络攻击不仅会使患者的敏感健康数据面临风险,还会延误挽救生命的护理。”卡西迪也是一名医生,也是参议院卫生、教育、劳工和养老金委员会的资深成员。

今年早些时候,一个勒索软件团伙锁定了Change Healthcare的系统,扰乱了美国数千家药店和医院,并访问了约1亿人的敏感健康数据,网络攻击的这些现实影响变得非常明显。在勒索软件感染后,Change Healthcare花了九个月的时间才恢复其清算所服务,迄今为止,这家联合健康公司的补救费用超过20亿美元。

Change勒索软件攻击还导致Warner和参议员Ron Wyden(俄勒冈州民主党人)提出了一项法案,该法案将为某些医疗服务提供者和公司制定强制性的最低信息安全标准。®