提升医疗行业的网络安全：政策与实际行动

关键要点

• 联邦政府致力于通过协作伙伴关系提升医疗行业的网络安全，但众多利益相关者对现行提案表示失望，认为缺乏对以往工作的吸取和进步。
• 参议员马克·华纳（D-Va.）发布了题为“网络安全就是病人安全”的白皮书，提出了可操作的措施，受到业内的欢迎。
• 行业内人士呼吁政府关注医疗资源的不足，并推动激励计划来改善网络安全。
• 建议通过为医院提供资金、引入网络安全保险等方式来提高医疗行业的安全防护能力。

联邦政府正试图通过合作来改善医疗行业的网络安全，但多个利益相关者对此表示失望，部分甚至愤怒，认为提案内容大多是以往工作的重提，而没有在他们多年的努力基础上进行实际推进。这种情况的确是行业内的长期挑战，而医疗界一直呼吁联邦援助，然而当前的提案似乎忽视了现有建设和对网络安全难点的深入理解。

这些行业领导者主要提到的是医务行业协调委员会正在努力为提供者组织创造高度定制的资源，以及2015年卫生与公共服务部设立的医疗行业网络安全工作组。这些工作的最终成果在2017年6月提交给国会，强调了医疗行业面临的不断变化的网络风险及特定的挑战。

在此背景下，FBI发布了关于遗留医疗设备对医疗基础设施风险的警报，此问题已经引起像医疗信息管理高管协会（CHIME）等组织的关注，而网络安全和基础设施安全局以及NIST也在征求关于构建医疗框架的反馈，可见业内领导者对政府现有努力的节奏和焦点感到沮丧。

“大多数的关注围绕风险评估与框架，但光有框架是无法保护你的，我们需要的是真正的保护。” — Dan L. Dodson, Fortified
Health Security首席执行官

直到参议员马克·华纳发布了政策选项，详细描述了包括劳动力发展和网络安全激励措施在内的可操作性措施。这份白皮书被业内人士称为“哈利路亚时刻”，特别是由FirstHealth Advisory的首席执行官Carter Groome提出，他长期以来一直倡导借鉴有意义使用（Meaningful Use）模式创建激励计划。

华纳在发布前还向多个最大的利益相关者集团了解情况以确保该报告方向正确，因此该计划的成功也展现了他在行业中推行支持的长期努力。

激励措施还是惩罚？

就在医疗安全成为医疗网络安全的流行词时，著名的医疗设备安全倡导者、加州大学圣迭戈分校急诊科医生ChristianDameff博士早就开始呼吁联邦支持。近期，他警告称，没有国会的干预，医疗行业系统性的网络安全挑战将不会改善，因为缺乏“激励”，小型、乡村和资源薄弱的提供者难以承担这些改进的财务负担。

“老实说…没有激励，只有惩罚、恐惧，还有资源的巨大缺乏。” — Christian Dameff博士

Bernard提到，卫生与公共服务部民事权利办公室曾对安盛集团（Anthem）处以1600万美元的历史最高赔偿，这对其影响实则微乎其微。医疗行业的监管模式与其他领域截然不同，财政惩罚的后果可能导致医院关闭或服务限制。

这使得激励在医疗中的必要性一直备受争议：自2009年《健康保险便携与责任法》实施以来，政府的执法行动是改善医疗行业安全唯一的手段。然而，资源和人员配备的挑战却没有显著改善，因此资金应成为政府关注的焦点，“这是唯一能带来改变的因素。”

在激励政策方面，华纳提议设立一个激励计划，向医院提供资金以实施特定的安全措施。利益相关者认为，这可以为医疗行业的网络安全进步奠定基础。比如，Health-
ISAC正在为相关的激励计划准备正式的反馈，特别是努力让更多的提供者参与共享信息。

“我们必须正视过去决策的后果，不论这是公平与否。” — Jerry Cap