美国提出2022年医疗网络安全法案.docx

《美国提出2022年医疗网络安全法案.docx》由会员分享，可在线阅读，更多相关《美国提出2022年医疗网络安全法案.docx（16页珍藏版）》请在第一文库网上搜索。

1、美国提出2022年医疗网络安全法案目录1 .加强医疗领域网络安全，美国提出2022年医疗网络安全法案12 .医疗网络安全法案(部分条例)：23 .美国2022年关键基础设施网络事件报告法概述34 . 2022年十大医疗技术危害：事关网络安全、远程医疗、人工智能61. 1.【医疗技术危害的变化格局】 74. 2.【清单目的】74. 3.【如何选择主题】 84. 4.事故调查81. 4.1.网络安全攻击可能会破坏医疗保健服务，影响患者安全92. 4.2.供应链短缺给患者医疗照护带来风险103. 4.3.受损的输液泵可能会导致用药错误114. 4. 4.应急储备不足在突发公共卫生事件期间会中断患者医

2、疗照护115. 4. 5.远程医疗工作流程和人为因素缺陷可能导致不良结果126. 4. 6.不遵从注射泵最佳操作可能会导致危险的药物输注错误137. 4. 7.基于人工智能的重建会扭曲图像，威胁诊断结果134.4.8. 十二指肠镜后处理差、人机工程学和工作流程不合理，置医务人员和患者于危险之中144. 4. 9.屏障保护不足的一次性防护服使穿戴者处于危险之中154. 4. 10. Wi-Fi中断和覆盖盲区可能导致患者治疗延误、受伤和死亡151 .加强医疗领域网络安全，美国提出2022年医疗网络安全法案2022年3月23日,美国参议员Jacky Rosen和Bill Cassidy提出了 202

3、2年医疗网络安全法案(S.3904),该法案将指导网络安全和基础设施安全局(CISA)与卫生和公共服务部(HHS)合作，改善医疗保健和公共卫生部门的网络安全。医疗保健和公共卫生部门掌握着大量敏感的病人信息，并且恶意行为者认为其安全防御很脆弱。针对网络攻击的频率和严重程度加深的情况，公共部门和私营部门开展合作和信息共享，对于提高医疗健康领域的相关实体机构的网络复原力至关重要。本周早些时候，拜登总统和白宫特别警告美国公司要要根据不断变化的威胁情报，立即采取行动来加强网络防御。根据本周发布的POLITICO对HHS数据的最新分析，2021年美国有近5000万人的敏感健康数据被泄露，仅在过去三年里就增

4、加了三倍。参议员Rosen称，鉴于俄罗斯网络攻击的威胁,，必须采取积极措施来加强医疗保健和公共卫生实体的网络安全。医院和保健中心是关键基础设施的一部分，并日益成为恶意网络攻击的目标，这可能导致数据泄露、护理成本上升以及对患者健康造成负面影响。这一法案将有助于加强网络安全保护并保护生命ODr. Cassidy表示，健康中心拯救生命并保存大量敏感的个人信息，这使它们成为网络攻击的主要目标。这项法案通过加强对网络战的抵御能力来保护患者的数据和公共健康。南内华达大学医学中心首席执行官Mason Van Houweling UMC支持医疗网络安全法案，以进一步保护患者的私人医疗保健信息。作为最近网络安全

5、攻击的受害者，应该了解与各机构合作保护有价值信息的重要性。2 .医疗网络安全法案（部分条例）：要求QSA和HHS进行合作，包括通过签订协议来改善QSA所定义的医疗保健和公共卫生部门的网络安全。授权对医疗保健和公共卫生部门的资产所有者和经营者进行网络安全培训，使其了解网络安全风险以及降低风险的方法。要求QSA对医疗保健和公共卫生部门面临的特定网络安全风险进行详细研究，包括分析网络安全风险如何具体影响医疗资产，评估医疗资产在确保最新信息系统安全方面面临的挑战，以及评估相关网络安全劳动力的短缺情况。3,美国2022年关键基础设施网络事件报告法概述在拜登总统于3月15日签署的2022年综合拨款法案中，

6、2022年关键基础设施网络事件报告法得以通过，并提出了新的数据泄露报告要求。这项新规定进一步推动了联邦政府改善国家网络安全的努力，至少部分是由Colonial Pipeline网络攻击和SolarWinds攻击引发的，该攻击使东海岸的天然气流通中断数日。美国国会和总统在制定这项法律时，很可能也考虑到了俄罗斯因在乌克兰的战争而不断增加的网络攻击的威胁。简而言之，该法要求关键基础设施领域的某些实体向美国国土安全部（DHS）报告：法案所规定的网络事件，在不迟于法案所管辖的实体有理由相信事件发生后的72小时，以及因勒索软件攻击而在支付赎金后24小时内支付的任何赎金（即使勒索软件攻击不属于前一点中要报告

7、的网络事件）如果有大量新的或不同的信息，以及在法案所管辖的实体通知DHS事件已经结束并已完全缓解和解决网络事件之前，也需要补充报告。此外，法案所管辖的实体必须根据网络安全和基础设施安全局局长（QSA）发布的规则，留存与法案所规定的网络事件和赎金支付有关的信息。这些要求的生效日期，以及报告的时间、方式和形式，以及其他项目，将在CISA局长发布的规则中规定。局长有24个月的时间来发布拟议的规则制定通知，之后有18个月的时间来发布最终规则。具体来说，：法案所管辖的实体：该法涵盖了关键基础设施部门（即总统政策指令21,Presidential Policy Directive 21所定义的）中的符合C

8、ISA局长所确定的定义的实体。这些部门的包括关键制造业、能源、金融服务、食品和农业、医疗保健、信息技术和运输。在进一步定义覆盖实体时，QSA局长将考虑一些因素，如损害一个实体可能导致的国家和经济安全的后果，该实体是否是恶意网络行为者的目标，以及进入这样一个实体是否能够破坏关键基础设施。法案所规定的网络事件：根据该法案，将要求对“法案所规定的网络事件“进行报告。部分借用2002年国土安全法第二十二章第2209（多条，该法规定的网络事件一般是指在没有合法授权的情况下，危害信息系统或信息系统信息的完整性、保密性或可用性的事件。根据该法，网络事件必须是一个由CISA局长进一步定义的法案所管辖的实体所经

9、历的“重大网络事件“，才能被涵盖。信息系统：信息系统是指“为收集、处理、维护、使用、共享、传播或处置信息而组织的一套离散的信息资源”，其中包括工业控制系统，如监督控制和数据采集系统、分布式控制系统和可编程逻辑控制器。赎金支付：赎金支付是指在任何时候作为赎金交付的与勒索软件攻击有关的任何金钱或其他财产或资产，包括虚拟货币，或其任何部分的传输。法案所规定的网络事件的报告需要包括：对法案所规定的网络事件的描述，包括：受影响的信息系统、网络或设备的识别和功能描述，这些系统、网络或设备已经或有理由相信已经受到影响。描述未经授权的访问，导致受影响的信息系统或网络的机密性、完整性或可用性的严重损失，或业务或

10、工业运作的中断。此类事件的估计日期范围；以及对法案所管辖的实体的影响。描述被利用的漏洞和已实施的安全防御措施，以及用于实施法案所规定的网络事件的战术、技术和程序（如适用）。有理由相信应对该网络事件负责的每个行为者的身份或联系信息（如适用）。如果适用的话，被认为或有理由认为被未经授权的人访问或获取的信息类别。明确识别受影响的法案所管辖的实体的名称和其他信息，包括（如适用）该实体的注册或组建国家、商号、法定名称或其他标识符。法案所管辖的实体的联系信息，或在适用的情况下，覆盖实体的授权服务供应商。赎金支付报告也需要类似信息，包括（i）赎金支付要求，包括所要求的虚拟货币或其他商品的类型（如适用），（i

11、i）赎金支付指示，包括有关支付地点的信息（如适用），以及（iii）赎金支付的金额。法案所管辖的实体可以使用第三方，如事件响应公司、保险商或服务提供商来提交这些报告，但这并不免除法案所管辖的实体的报告义务。国土安全部的国家网络安全和通信集成中心(National Cybersecurity andCommunications Integration Center, NCCIC)负责开展各种活动，根据该法接收和分析报告。这些活动包括：评估网络事件对公众健康和安全的潜在影响。与适当的联邦部门和机构协调和分享信息，以确定和跟踪赎金支付，包括那些使用虚拟货币的赎金。在自愿的基础上，促进相关关键基础设施所

12、有者和经营者之间及时分享与法案所规定的网络事件和赎金支付有关的信息，特别是与正在发生的网络威胁或安全漏洞有关的信息；以及如果涉及的网络事件也符合重大网络事件的定义，例如，对有关事件的细节进行审查，并传播预防或减轻未来类似事件的方法。重大网络事件是指国土安全部部长认为可能会对美国的国家安全利益、外交关系或经济，或对美国人民的公众信心、公民自由或公共健康和安全造成明显损害的网络事件或一组相关的网络事件。该法还对法案所规定的网络事件和赎金支付报告中的信息提供了若干保护。例如，根据该法，此类报告中包含的信息将根据其他联邦法律为保护个人信息而制定的程序进行保留、使用和传播，并以保护个人信息免遭未经授权的

13、使用或未经授权的披露。此外，一般来说，联邦、州、地方或部落政府实体都不得使用该法规定的此类报告中的信息来监管，包括通过执法行动来监管支付赎金的承保实体或实体的活动。这种执法的排除并不适用于政府实体明确允许实体向该机构提交的报告，以履行监管报告义务。该法还禁止因提交此类报告而提出或维持诉讼理由。此外，法案所规定的网络事件和赎金支付的报告将：被视为法案所管辖的实体的商业、财务和专有信息、，如果法案所管辖的实体这样指定。根据联邦信息自由法以及类似的州、部落或地方法律，免于披露。不构成对法律规定的任何适用特权或保护的放弃，包括商业秘密保护；以及不受任何联邦机构或部门的规则或任何关于与决策官员单方面沟通

14、的司法理论的约束。4.2022年十大医疗技术危害：事关网络安全、远程医疗、人工智能近日，美国患者安全组织(PSO)之一的ECRI研究所发布了2022年十大医疗技术危害(Top 10 Health Technology Hazards for 2022),这份报告是该机构发布的第15版关于医疗技术危害I的报告。内容有很大的变化，提醒医疗机构注重医学装备的安全性及可能给患者带来的危害。2022年十大医疗技术危害清单网络安全攻击可能会破坏医疗保健服务，影响患者安全供应链短缺给患者医疗照护带来风险受损的输液泵可能导致用药错误应急储备不足在突发公共卫生事件期间会中断患者医疗照护远程医疗工作流程和人为缺陷

15、可能导致不良结果不遵从注射泵最佳操作可能会导致危险的药物输注错误基于人工智能的重建可能会扭曲图像，威胁诊断结果十二指肠镜后处理差、人机工程学和工作流程不合理，置医务人员和患者于危险之中屏障保护不足的一次性防护服使穿戴者处于危险之中Wi-Fi中断和覆盖盲区可能导致患者治疗延误、受伤和死亡笫16页共16页Top 10 HealthTechnology Hazardsfor 2022Executive BriefECR1H providing thn abridged version of its 2022 Top 10 last of health technology hawds asa free (xubbc sendee to inform healthcare facilities about important safety issues involving theuw of rrwdkxil device and syst