马克·华纳参议员的医疗网络安全倡议

重点摘要

华纳参议员于2022年9月27日抵达美国国会时与媒体交谈，随后发布了一份名为“网络安全保障患者安全”的医疗网络安全白皮书。该白皮书概述了应对医疗行业在网络安全上面临的系统性挑战的关键建议，提出了建立专项劳动力发展计划，以及运用激励措施和要求以提高网络卫生的必要性。

“向更好的网络安全过渡的过程缓慢且不够充分，”华纳表示。“联邦政府和医疗行业必须找到一种平衡的方式，以共同应对紧迫的威胁。”

该白皮书由华纳的团队汇集而成，并基于医疗和网络领域利益相关者的意见，强调只有公共和私营部门的协作聚焦，才能改善医疗行业的网络安全状态，且需得到联邦领导的支持。

这份文件是华纳对监管机构的一次新呼吁，目的是让它们更好地装备医疗服务提供商以应对高度针对性的网络攻击，同时填补资源缺口，推动必要技术及其他长期存在的网络安全障碍的广泛采纳。

华纳将这些问题分为三个部分，关注改善联邦领导与风险态势、网络攻击恢复的程序与主动措施，以及能够提升行业网络安全能力的激励措施和要求。

医疗服务提供商正在努力提升其网络安全能力，并完全建立一个“健全的响应系统，以有效从攻击中恢复”。这一点可从多个医疗提供商近期面临的故障中看出。
普通精神（CommonSpirit）仍在努力恢复其医院系统，因一个多月前发生的勒索软件攻击而受到影响。

通过激励措施来更好地支持医疗服务提供商是一个长期以来的请求。行业利益相关者甚至建议类似于有意义使用（meaningfuluse）的计划。这个计划激励提供者从纸质流程过渡到电子健康记录（EHR）系统，从而实现几乎100%的采纳率。

华纳列出了当前政策考量可能的激励方案，包括一个逐步淘汰传统系统的计划。“一些人建议基于2009年的汽车补贴回扣计划（CARS）或‘以旧换新’模式。”这可能“有助于逐步淘汰这些不安全的设备。”

华纳指出：“任何激励计划应该只涵盖符合某些最低要求的设备，这些要求应包括消除或最小化设备和软件生命周期的差距。”这样的计划可以“推动行业开发更多可以模块化、可更新的医疗设备，以符合网络安全的最低标准。”

确实，利益相关者早已警告，医疗行业仍然依赖过时的技术，因为这些技术仍能正常运作，而更换它们的成本实在过高。华纳还提到，“一些团体认为应该限制销售那些已经不再得到支持的医疗设备的软件的医疗器械。”

其他激励计划可能涉及产品采购、医疗设备库存跟踪及其他手段，以减少生命周期的差距。

该白皮书警告称，医疗行业承受着所有行业都面临的网络安全劳动力挑战。“当网络安全团队人手不足——或者更糟的是，根本没有网络安全团队时——组织在面对网络威胁时尤其脆弱，”白皮书写道。

为了解决医疗行业对于网络安全专业人员的短缺问题，国会应该设立一个专注于该行业的网络安全劳动力发展计划，以“培养能够应对特定于医疗环境的网络威胁的网络安全专业人士。”该计划将借助社区大学和专业认证项目，创造一支技能娴熟的劳动力。

此外，华纳再次强调了现代化[《健康保险可携性与问责法案》](https://www.scworld.com/feature/application-
security