本文最初发布于 KFF Health News。
Central Oregon Pathology Consultants (COPC) 成立近 60 年,在喀斯喀特山脉以东提供分子检测和其他诊断服务。
自去年冬天开始,该机构在长达数月的时间里未能收到付款,依靠现有现金维持运营。该机构的实践经理 Julie Tracewell 表示。该机构正处于美国历史上最重大的数字攻击之一的后续影响之中:2 月份支付经理 Change Healthcare 遭受的黑客攻击。
Tracewell 表示,COPC 最近得知 Change 已开始处理部分未付款项,截至 7 月份,这些未付款项约有 20,000 笔,但她不知道是哪些。患者支付门户网站仍然关闭,这意味着客户无法结清账户。
她说:“要计算这次停机造成的总损失,还需要几个月的时间。”
医疗保健是勒索软件攻击最频繁的目标:联邦调查局称,2023 年,有 249 起针对医疗机构的勒索软件攻击,是所有行业中数量最多的。联邦调查局表示。
医疗保健高管、律师以及国会山的人士都担心,联邦政府的应对措施力度不足、资金不足,并且过度关注保护医院——即使 Change 的事件证明了漏洞广泛存在。
参议院财政委员会主席 Ron Wyden(俄勒冈州民主党参议员)在最近给该机构的一封信中写道:“美国卫生与公众服务部(HHS)目前应对医疗保健网络安全的措施——自我监管和自愿最佳实践——远远不够,使得医疗保健系统容易受到犯罪分子和外国政府黑客的攻击。”写信给该机构。
民主基金会网络与技术创新中心高级主管 Mark Montgomery 表示,资金不足。“我们看到在安全方面投入的努力 apenas 渐进,几乎不存在,”他说。
这项任务非常紧迫——2024 年是医疗保健黑客攻击频发的一年。由于非营利捐血服务机构 OneBlood 成为勒索软件攻击的受害者,东南地区数百家医院在获取输血用血方面面临中断。
佛蒙特大学医学中心网络安全官 Nate Couture 表示,网络攻击会使日常和复杂的任务都变得复杂。该中心在 2020 年遭受了勒索软件攻击。“我们不能凭眼睛来配制化疗药物,”他在 6 月份华盛顿特区的一次活动中说道,指的是癌症治疗。
去年 12 月,HHS发布了网络安全战略,旨在支持该行业。几项提案侧重于医院,包括一项奖惩并施的计划,以奖励采用某些“关键”安全实践的提供者,并惩罚不采用的提供者。
即使是这种狭窄的关注点也可能需要数年才能实现:根据该部门的预算提案,资金将在 2027 财年开始流向“高需求”医院。
前 HHS 民权办公室执法律师 Iliana Peters 在一次采访中表示,关注重点是医院“不合适”。她说,联邦政府需要做得更多,同时也要投资于为提供者提供供应和合同的组织。
HHS 战略准备和响应局副主任 Brian Mazanec 在一次采访中表示,该部门对保护患者健康和安全的关注“确实使医院成为我们优先合作伙伴名单上的重要一员”。
国家健康网络安全责任由两个不同机构内的三个办公室分担。卫生部的民权办公室就像街上的警察,监测医院和其他医疗组织是否拥有足够的患者隐私保护措施,并在不足时可能对其处以罚款。
卫生部的准备办公室和美国国土安全部网络安全和基础设施安全局(CISA)则致力于建立防御措施——例如强制医疗软件开发人员使用审计技术来检查其安全性。
后两者都需要创建一个“系统重要实体”列表,这些实体的运营对医疗系统的顺畅运行至关重要。网络倡导组织 I Am The Cavalry 的联合创始人 Josh Corman 在一次采访中表示,这些实体可能会获得特别关注,例如被纳入政府威胁简报。
国土安全部网络安全机构的负责人 Jen Easterly 在 3 月份的一次活动中表示,联邦官员一直在制定该列表,当时 Change 黑客攻击的消息刚刚曝光——但 Change Healthcare 不在该列表上。
网络安全机构副主任 Nitin Natarajan 告诉 KFF Health News,该列表只是一个草案。该机构此前估计,将在去年 9 月份完成跨行业的实体名单。
国会工作人员表示,卫生部的准备办公室本应与国土安全部的网络安全机构以及卫生部内部进行协调,但该办公室的努力却未能达到预期。在 6 月份的一次会议上,众议员 Robin Kelly(伊利诺伊州民主党议员)的幕僚长 Matt McMurray 表示,HHS 中存在“卓越的孤岛”,“团队之间没有交流,[也]不清楚人们应该去找谁”。
他问道:“卫生部的准备办公室是否是处理网络安全的‘合适部门’?我不确定。”
据曾在特朗普政府时期在准备办公室工作、现为投资银行 Raymond James 分析师的 Chris Meekins 称,历史上,该办公室专注于物理世界灾难——地震、飓风、炭疽病袭击、流行病。当特朗普政府部门领导层为了争取更多资金和权力而争夺时,它继承了网络安全工作。
但 Meekins 表示,此后,该机构已表明其“不具备执行此项工作的资格。缺乏相应的资金、缺乏参与度、缺乏专业知识。”
民主基金会网络与技术创新中心主任 Annie Fixler 表示,准备办公室只有“为数不多”的员工专注于网络安全。Mazanec 承认人数不多,但希望额外的资金能增加招聘。
该办公室对外部反馈的反应迟缓。前 Health Information Sharing and Analysis Center(H-ISAC)董事会主席 Jim Routh 表示,当一个行业网络威胁信息共享中心试图与其协调以创建事件响应流程时,“花了大约三年时间才确定有人愿意支持”这项工作。
Routh 表示,在 2017 年 NotPetya 攻击期间——这是一次对医院和制药公司默克造成重大损害的黑客攻击——Health-ISAC 最终自行向其成员传播了信息,包括控制攻击的最佳方法。
倡导者们指出,据报道,Change 黑客攻击是由于缺乏多因素认证造成的,这项技术在美国工作场所非常普遍。他们表示,HHS 需要通过强制措施和激励措施来促使医疗保健行业采取更好的防御措施。该部门去年 12 月发布的战略为医疗保健行业提出了一系列相对有限的目标,目前这些目标大多是自愿性的。Mazanec 表示,该机构正在“探索”制定“新的可执行”标准。
HHS 战略的大部分内容将在未来几个月内推出。该部门已要求增加资金。例如,准备办公室希望为网络安全增加 1200 万美元。民权办公室的预算持平且执法人员正在减少,该办公室将发布其隐私和安全规则的更新。
Routh 表示:“整个行业仍然面临着重大挑战。我没有看到任何可能改变这种情况的迹象。”
KFF Health News 是一个致力于深度报道健康问题的国家新闻机构,也是 KFF——一个独立健康政策研究、民意调查和新闻机构——的核心运营项目之一。了解更多关于KFF 的信息。
订阅KFF Health News 的免费晨报。
