HHS提出新的网络安全要求作为十年来首次重大HIPAA更新

美国卫生与公共服务部（HHS）在新年伊始提出了一项新规则，要求医疗保健组织提高保护敏感医疗信息的标准，以应对诸如网络攻击等安全威胁。该提案要求受《健康保险可移植性和责任法案》（HIPAA）覆盖的实体实现特定的技术标准，如加密和多因素认证。该规则还提高了业务关联方的安全标准，并强调团体健康计划有责任保护电子健康信息。

自2013年HIPAA安全规则上次更新以来，技术已经发生了显著变化，HHS下属的民权办公室（OCR）在其拟议规则制定通知（NPRM）中表示。技术的快速发展增加了电子健康信息的普及和医疗行业遭受网络攻击的频率。

OCR在规则中指出，网络攻击对患者护理产生负面影响，包括测试或程序延迟、住院时间延长、手术并发症增加以及患者转院或分流到其他设施。

OCR提议更新某些术语的定义，如“保密性”，并添加新定义，如“多因素认证”。它还加强了HIPAA覆盖实体应实施的行政、技术和物理保护措施，以保护电子健康信息。

随着新技术的发展，需要新的安全标准，OCR还寻求澄清2003年的HIPAA安全规则，因为一些医疗机构对其存在误解。OCR在拟议规则中表示：“OCR调查安全规则违规行为的经验表明，受监管实体并未始终遵守安全规则的要求。”

网络安全公司Clearwater的主管Steve Cagle表示，OCR在NPRM中澄清，“所有”电子受保护健康信息（ePHI）都受该规则约束。OCR希望澄清规则中的语言，因为一些组织将其解读为某些形式的ePHI可以豁免。

拟议规则还关注能够增强医疗保健组织在发生安全漏洞时恢复能力的安全措施。它建议医疗保健组织在决定安全实践时考虑某一特定安全实践如何影响事件中的弹性和信息可用性。

Cagle还指出，OCR增加了确保现代安全实践得到实施并定期测试其有效性的要求。该规则要求大多数网络安全实践每年至少审查一次，或在可能影响ePHI的情况下进行审查。

对于许多医疗保健组织而言，拟议的安全实践更新将是微不足道的，Cagle说。许多所需实践已经在医疗保健中实施。但对于一小部分在网络安全方面落后的医疗保健组织，该规则可能会带来重大挑战。他补充说，要使一个医疗系统达到现代网络安全水平，可能需要数年时间。拟议规则规定最终确定后的六个月为合规生效日期。

医疗信息和管理系统学会（HIMSS）的高级首席网络安全和隐私专家Lee Kim表示，拟议的更新提供了具体的行业最佳实践示例，而不仅仅是理论上的目标。“它还要求业务关联方和第三方供应商承担更多责任。”Kim说。“我们知道目前还没有任何具体的规定来验证这些安全控制措施的实际实施情况，我认为这是为了确保承诺的内容具有实质性和执行力。”

但该规则仍然为HIPAA覆盖实体提供了一些灵活性，以确定哪些安全措施适合其组织。“我们仍然有一些自主权和灵活性来执行各种任务，如风险评估等，但我们得到了更多的指导。”Kim说。

拟议规则还将特别适用于医疗保健领域的新技术，如人工智能、量子计算、虚拟现实和应用现实。拟议规则澄清，医疗保健组织必须对新AI工具（如环境记录员或放射学解决方案）的网络安全威胁进行风险评估。

“受监管实体的风险分析必须包括考虑，除其他事项外，AI工具访问的ePHI类型和数量、数据披露给谁以及输出提供给谁。”拟议规则指出。

(全文结束)