Darius Tahir报道，KFF健康新闻

　　中央俄勒冈病理咨询公司已经经营了近60年，在喀斯喀特山脉以东提供分子检测和其他诊断服务。

　　从去年冬天开始，该公司连续几个月没有收到付款，只能靠手头的现金生存

　　实践经理Julie Tracewell说。这种做法受到了美国历史上最严重的数字攻击之一的影响:今年2月，支付管理公司Change Healthcare遭到黑客攻击。

　　COPC最近了解到，Change已经开始处理一些未处理的索赔，截至7月，这些索赔大约有2万份，但Tracewell不知道是哪些索赔。患者支付门户仍然关闭，这意味着客户无法结算他们的账户。

　　“需要几个月的时间才能计算出停机时间的总损失，”她说。

　　医疗保健是勒索软件攻击最常见的目标:联邦调查局表示，2023年，有249起勒索软件攻击的目标是医疗机构，是所有行业中最多的。

　　卫生行政人员、律师和国会议员担心，联邦政府的应对措施力量不足、资金不足，而且过于关注保护医院——尽管事实证明，弱点普遍存在。

　　参议院财政委员会主席、俄勒冈州民主党参议员罗恩·怀登(Ron Wyden)在最近给该机构的一封信中写道，卫生与公众服务部“目前的医疗网络安全方法——自我监管和自愿最佳实践——严重不足，使医疗系统容易受到犯罪分子和外国政府黑客的攻击。”

　　保卫民主基金会(Foundation for Defense of Democracies)网络与技术创新中心(Center on Cyber and Technology Innovation)高级主管马克·蒙哥马利(Mark Montgomery)说，钱不在那里。他说，在加大安全投资方面，“我们看到，从几乎不存在的努力，已经有了极大的增长”。

　　这项任务迫在眉睫——2024年是医疗保健黑客的一年。在非营利献血服务机构OneBlood成为勒索软件攻击的受害者后，美国东南部数百家医院的输血供血能力受到了影响。

　　佛蒙特大学健康网络(University of Vermont Health Network)首席信息安全官内特·库库尔(Nate Couture)表示，网络攻击使平凡和复杂的任务变得同样复杂。该大学在2020年遭受了勒索软件攻击。“我们不能凭肉眼混合化疗鸡尾酒，”他在6月华盛顿特区的一次活动上说，他指的是癌症治疗

　　去年12月，HHS发布了一项旨在支持该行业的网络安全战略。有几项提案的重点是医院，其中包括一项胡萝卜加大棒的计划，奖励采取某些“必要”安全措施的供应商，惩罚那些没有采取措施的供应商。

　　即使是这种狭隘的关注也可能需要数年时间才能实现:根据该部门的预算提案，资金将在2027财年开始流向“高需求”医院。

　　卫生与公众服务部民权办公室(Office for Civil Rights)的前执法律师伊利安娜·彼得斯(Iliana Peters)在接受采访时说，把重点放在医院上是“不合适的”。她说，“联邦政府需要更进一步”，投资于那些提供医疗服务并与医疗服务提供者签订合同的组织。

　　该部门对保护患者健康和安全的兴趣“确实将医院置于我们优先合作伙伴名单的首位，”卫生与公众服务部战略准备和应对管理局副主任布莱恩·马扎内克在接受采访时说。

　　国家卫生网络安全的责任由两个不同机构的三个办公室共同承担。卫生部门的民权办公室有点像巡逻的警察，监督医院和其他卫生组织是否对病人隐私有足够的保护，如果没有，可能会对他们处以罚款。

　　卫生部门的准备办公室和国土安全部的网络安全和基础设施安全局帮助建立防御——比如要求医疗软件开发人员使用审计技术来检查他们的安全性。

　　后两者都需要创建一份“具有系统重要性的实体”清单，这些实体的运作对卫生系统的顺利运作至关重要。网络倡导组织“我是骑兵”(I Am the Cavalry)的联合创始人乔希·科曼(Josh Corman)在接受采访时表示，这些实体可能会受到特别关注，比如被纳入政府的威胁简报。

　　国土安全部网络安全机构负责人珍·伊斯特利(Jen Easterly)在3月份的一次活动中表示，当Change被黑客攻击的消息传出时，联邦官员一直在名单上工作，但Change Healthcare不在名单上。

　　网络安全机构副主任Nitin Natarajan告诉KFF健康新闻，这份名单只是一个草案。该机构此前估计，它将在去年9月完成所有行业的实体名单。

　　卫生部门的准备办公室应该与国土安全部的网络安全机构和整个卫生部门进行协调，但国会工作人员表示，该办公室的努力不足。在6月的一次会议上，众议员罗宾·凯利(伊利诺伊州民主党人)的幕僚长马特·麦克默里(Matt McMurray)说，HHS存在“卓越的孤岛”，“团队之间没有相互沟通，(在那里)不清楚人们应该去找谁。”

　　卫生部门的准备办公室是“网络安全的正确归宿”吗?我不确定，”他说。

　　从历史上看，该办公室关注的是物理世界的灾难——地震、飓风、炭疽攻击、流行病。克里斯·米金斯(Chris Meekins)说，当特朗普时代的部门领导层攫取更多资金和权力时，它继承了网络安全，他曾在特朗普政府的准备办公室工作，现在是投资银行雷蒙德·詹姆斯(Raymond James)的分析师。

　　但从那以后，米金斯说，该机构已经表明它“没有资格这样做”。那里没有资金，没有参与，也没有专业知识。”

　　FDD网络与技术创新中心主任安妮·菲克勒(Annie Fixler)表示，准备办公室只有“少数”专注于网络安全的员工。马扎内克承认，这个数字并不高，但他希望额外的资金可以让更多的员工。

　　该办公室对外界的反馈反应迟缓。健康信息共享与分析中心(Health Information Sharing and Analysis Center)当时的董事会主席吉姆·劳斯(Jim Routh)说，当一个行业网络威胁信息交换中心试图与它协调创建一个事件响应流程时，“大概花了三年时间才找到愿意支持这项工作的人”。

　　Routh说，在2017年的NotPetya攻击期间(一次对医院和制药商默克造成重大损害的黑客攻击)，Health-ISAC最终向其成员自己传播信息，包括遏制攻击的最佳方法。

　　支持者关注Change黑客攻击——据报道是由于缺乏多因素认证造成的，这是美国工作场所非常熟悉的一种技术——他们说，卫生与公众服务部需要使用命令和激励措施来促使卫生保健部门采取更好的防御措施。卫生部去年12月发布的战略为医疗保健行业提出了一份相对有限的目标清单，目前这些目标大多是自愿的。马扎内克说，该机构正在“探索”制定“新的可执行的”标准。

　　卫生与公众服务部的大部分战略将在未来几个月推出。该部门已经申请了更多的资金。例如，准备办公室需要额外的1200万美元用于网络安全。预算持平、执法人员不断减少的民权办公室将发布其隐私和安全规则的更新版本。

　　“整个行业仍然面临着重大挑战，”劳斯说。“我看不出有什么事情一定会改变这一点。”

　　KFF健康新闻是一个全国性的新闻编辑室，制作有关健康问题的深度新闻，是KFF的核心运营项目之一-卫生政策研究，民意调查和新闻的独立来源。

　　?2024 KFF健康新闻。由论坛内容代理有限责任公司分发。