白宫批准 HIPAA 安全规则更新

美国卫生与公众服务部正在加大数字化工作力度，以保护美国人的健康，在这一年中，黑客瞄准了敏感的患者数据，Ascension 和 UnitedHealth 也发生了重大信息泄露事件。

美国卫生与公众服务部（HHS）将公布一份规则制定建议通知，要求医疗保健公司加密数据、进行例行合规检查，并更新《健康保险便携性与责任法案》（Health Insurance Portability and Accountability Act）中的某些网络标准。该提案将增加新的网络安全要求，并改进现有的 HIPAA 安全法规，该法规已有十多年未进行过安全更新（参见：白宫审查 HIPAA 安全规则更新）。

负责网络和新兴技术的副国家安全顾问安妮-纽伯格（Anne Neuberger）说：“我们处理的最令人担忧和真正令人不安的事情之一就是黑客攻击医院和医疗数据。她在周五的媒体吹风会上补充说，HHS 正在更新安全规则，因为整个行业 “长期存在合规性缺陷”，导致出现了像今年早些时候的 Change Healthcare 攻击这样的历史性漏洞，专家称这可能会给联合健康集团造成近 29 亿美元的损失（见：Change Healthcare 攻击成本估算达到近 29 亿美元）。”

Neuberger 说：“不采取行动的代价不仅高昂，还会危及关键基础设施和患者安全。白宫估计，更新后的安全规则第一年的实施成本将达到 90 亿美元，随后四年的成本将达到 60 亿美元。”

HHS 的卫生部门网络安全协调中心（Health Sector Cybersecurity Coordination Center）一直在呼吁医疗机构在威胁激增的情况下加强防御，并在近期发布了一系列警报，强调了攻击的复杂性和频繁性。专家称，利用现有系统的 “离地生存 ”技术是使医疗行业日益脆弱的战术之一（参见：联邦政府警告医疗行业面临一系列网络威胁）。

2024 年，数百万美国人收到了来自医疗保健机构（如 Change Healthcare）的违规通知函，该机构于 6 月 20 日首次在其网站上为受影响的机构和个人发布了替代 HIPAA 违规通知。

HHS 没有立即回应置评请求。