周四提出的一项措施将指示卫生与公共服务部(HHS)制定一套新的医疗保健部门最低网络安全标准,并要求该机构每年对受这些新规监管的健康实体进行审计。由参议员罗恩·怀登(D-Ore)和马克·华纳(D-Va)领导的《健康基础设施安全与问责法》修订了《健康保险便携性和责任法》要求,并指示HHS为医疗保健提供者、健康计划、清算所和业务伙伴建立新的“强制性最低网络安全标准”,特别关注对国家安全重要的医疗运作。
该法案的提出是由于二月份对UnitedHealth的Change Healthcare部门发生的一次严重勒索软件攻击,这次攻击可能影响到三分之一的美国人,并在初夏期间造成了若干医疗处理挑战,包括延期的处方药填充和乡村诊所与医院的现金短缺问题。黑客利用被盗的凭证侵入了一个没有多因素认证保护的Change Healthcare服务器,多因素认证是一种在用户登录平台时再次核实其是否冒用他人身份的方法。
该措施要求医疗实体进行年度网络安全审计和压力测试,并为小型提供者提供豁免,同时要求HHS每年对关键实体进行审计。它还将取消对大型公司的罚款上限,通过使用费资助HHS的监管,并拨款13亿美元给医院用于网络安全改进。HHS部长在网络中断期间加速医疗保险支付的能力也将被确立。Change黑客攻击在某种程度上是迄今为止对美国医疗保健行业最大规模的网络攻击,造成了巨大的连锁反应。
根据美国医学协会的调查,3月26日至4月3日期间,80%的医师实践因未付索赔失去了收入,而55%的受访者表示他们需要使用个人资金来支付费用。在极端情况下,如果安全文档被故意提交错误信息,医疗保健高管可能会面临监禁。“随着黑客攻击已经针对全国各地的机构,是时候超越自愿标准,确保医疗保健提供者和供应商认真对待网络安全和患者安全了,”华纳说。
“像UnitedHealth这样的巨型公司在网络安全101考试中不合格,美国家庭因此受苦,”怀登说。尽管该机构在HIPAA下已经拥有了一些现有的网络权限,拟议法案将帮助它有权对重要医疗实体进行清点。根据法案文本,网络安全和基础设施安全局(CISA)和国家情报总监也将参与制定这些标准。
值得注意的是,CISA已经建立了一套系统性重要实体——其基础设施如此重要,如果其受到干扰,可能影响国家安全、经济安全或公共健康和安全——尽管为了安全原因,该名单未公开。HHS支持这项新立法。“对持有敏感数据的所有组织实施明确的问责措施和强制性网络安全要求至关重要,”副部长安德烈亚·帕姆在声明中说。
HHS此前已宣布采取步骤提高现有项目中的网络安全标准,包括可能利用HHS的主要支付项目以及HIPAA下的权限来强制执行合规性。