隨著針對公共和私營部門醫療保健組織的網路攻擊威脅不斷增加,衛生與公眾服務部正在提供一些幫助。
作為醫療保健部門的網路安全風險管理機構,美國衛生與公眾服務部(HHS)在過去一年中已經成熟了其網路工具以及在政府和私營部門之間的協調方式。
美國衛生與公眾服務部戰略準備與回應管理局準備辦公室副主任布萊恩·馬扎內克表示,該機構正在加強其網路保護。
「就在一年多前,這種協調正在發生,但並不像需要的那麼順利。我們採取了一些措施,實際上現在已經有一名公共衛生服務隊長或一名 06 官員永久嵌入 FBI 領導的國家網路調查聯合特遣部隊。我們有一名 HHS ASPR 人員全職與 FBI 特工和其他執法人員一起工作,他們在該工作組中工作,每天都在處理非常敏感的信息並響應醫療保健領域的網絡事件。 。 「這只是我們真正加強並繼續完善與聯邦調查局合作關係的另一個例子。我們確實與其他以健康為重點的實體合作,例如退伍軍人事務部、國防衛生局,當然還有美國衛生與公眾服務部、印度衛生服務局以及醫療補助和醫療保險服務中心。
當然,ASPR 也與網路安全和基礎設施安全局密切合作,作為該部門協調機構以及 HHS 首席資訊長辦公室和該機構內其他網路相關組織的聯邦領導者。
隨著網路威脅和攻擊的數量激增,網路協調委員會的努力變得比以往任何時候都更加重要。美國國家情報總監辦公室報告稱,到 2023 年,美國醫療機構面臨的勒索軟體攻擊比前一年增加了 128%。自 2022 年以來,全球針對醫療保健產業的勒索軟體攻擊穩步增加,幾乎翻了一番,到 2023 年,受害者總數為 389 人,而 2022 年為 214 人。
馬薩內克表示,ASPR 的角色是透過召集部門內、政府和私營部門的合作夥伴來「四分衛」網路事件回應能力。
ASPR 大約一年前製定的四管齊下的策略為這項領導努力提供了支撐。
馬薩內克表示,這份長達六頁的文件旨在製定一項計劃,以縮小醫療保健領域當前和未來的差距,並確保衛生與公眾服務部為這些醫院和診所提供降低風險和抵禦攻擊所需的支持。
該策略的四大支柱涉及:
- 為醫療保健產業制定自願網路安全績效目標
- 提供資源來激勵和實施這些網路安全實踐
- 實施 HHS 範圍內的策略,以支持加強執法和問責制
- 擴大並改善 HHS 內醫療保健部門網路安全的一站式服務
馬薩內克表示,美國衛生與公共服務部已完成大部分近期目標,以建立自願性網路績效目標。
「該行業需要更好地指導實施哪些影響最大的網路安全實踐。如果您是小型醫院的CISO,並且您正在努力知道從哪裡開始,而您已經有了美國國家標準與技術研究所的網路安全框架、跨部門網路安全績效目標和HIPPA,那麼您該從哪裡開始呢?他說。 「當時有很多混亂。該行業的真正方向是什麼?最有影響力的做法是什麼?該策略的第一個支柱是製定醫療保健特定的網路安全績效目標。我們已經做到了,並在一月份發布了這些內容。
HHS 要求額外的網路資金
HHS 詳細列出了 10 個基本目標,例如多因素身份驗證以及基本事件規劃和準備。它還概述了 10 個增強目標,例如資產庫存和網路分段。
馬薩內克表示,其他三個支柱正在推進中。
對於第二支柱,HHS 與白宮合作,為提交的 2025 財政年度預算添加了具體的資金請求。其中包括一項由 CMS 領導的專案的 13 億美元請求,該專案將直接向醫療保健產業提供網路安全資源。
「ASPR 特有的另一個例子是我們有醫院準備計劃,這是一個大約2.4 億美元的計劃,為醫療保健聯盟提供這筆資金,這些聯盟主要以州為單位,但也有一些是針對大城市地區的,以幫助他們參與的準備活動可能不僅僅是針對網路特定的,而是針對一系列場景的,」他說。 「當我們準備該醫院準備計劃的資助機會通知時,我們非常有意識地採取了這一策略,該計劃於幾個月前發布,實際上我們最近剛剛宣布了獎項,包括建立一個全新的網絡因此,接收者現在將使用這些資金,除其他外,用於實踐停機程序,並在其醫療保健聯盟內發生網路事件後,進行風險評估和差距分析,重點關注那些醫療保健特定的網路安全績效目標」。
一站式服務中心建設中
在圍繞問責制的第三個支柱下,馬扎內克表示,向醫療保健組織提供更多資金固然很好,但他們也必須負責使用這些資金來實際採取措施保護其係統和數據。
他說,ASPR 正在整個部門尋找可以更強大地應用哪些槓桿和能力。
「我們公開討論過的一個例子是民權辦公室 HIPAA 安全規則的更新正在進行中。這是該部門擁有的一種執法工具,可確保所涉及的實體採取適當措施從網路角度保護自己。 “我們還在尋找其他可以從問責角度推動該行業發展的領域。”
第四個支柱,即在 HHS 內建立一站式商店,最近在該機構幫助應對 Change Healthcare 勒索軟體攻擊時得到了及時的推動。
馬薩內克表示,ASPR 在 2025 年請求中要求額外提供 1,200 萬美元,以開始建立一站式服務能力。
「這將有助於我們雙方都有人成為行業大使,他們將在全國範圍內接觸並參與教育觀點。他們將推廣我們開發的現有資源、最佳實踐並進行風險評估活動。它們也確實幫助我們增強了事件響應方面的能力,」他說。 「HHS 其他部門(例如 FDA)仍然擁有大量專業知識,例如醫療設備網路安全方面的專業知識以及 OCIO 在技術方面的一些能力。我們將繼續希望在那裡建立並利用它們,因此這仍然是整個部門的團隊努力,但 ASPR 將發揮增強的一站式服務的作用。
版權所有 © 2024 聯邦新聞網。版權所有。本網站不適用於歐洲經濟區內的使用者。