콘텐츠로 건너뛰기

HHS, 의료 시스템에 사이버 성능 목표를 제시

미국 보건복지부에 의하면 자발적인 사이버보안 성과 목표는 의료기관이 다층 보호를 수립하고 적응할 수 있도록 도와줍니다. 이 기관의 다음 단계는 의료기관이 목표 및 시행기준을 구현하기 위한 투자와 인센티브를 구축하는 것을 포함한다.

왜 중요한가

HHS가 발표한 것은 CPG 의료기관이 영향이 큰 사이버 보안 실천의 도입을 우선할 수 있도록 지원합니다.

이들은 필수 목표와 강화된 목표로 구성되어 있으며, HHS 405(d) 프로그램 및 보건 부문 조정 협의회 사이버 보안 작업부의 의료 산업 사이버 보안 실천, NIST 사이버 보안 프레임워크 및 사이버 보안 인프라 보안청의 국가 사이버 보안 전략과 일치합니다.

HHS 사이버 보안 태스크 포스가 개발 한 HICP의 2023 년 버전 4월에 발매 병원 사이버 탄력성 조경 분석 및 교육 플랫폼 외에도 환자의 안전을 보장하고 사이버 보안 위협을 완화하는 가장 관련성이 높고 비용 효율적인 방법이 포함되어 있습니다.

사이버 보안 기업 클라로티의 HHS 405(d) 앰배서더 겸 헬스케어 업계 책임자인 태국 그린하르그에 따르면, CPG에 앞서 의료 제공자가 CPG를 준수하기 위한 자금을 받게 되기 때문에, 업계 단체는 어느 것이 ‘필수 버킷’에 들어갈지 논의해 왔다고 한다.의료 및 기타 산업에 서비스를 제공하는 기업, 목적지로 보낸 이메일 건강 관리 IT 뉴스 수요일에 CPG가 게시된 후.

“자발적인 목표만으로는 의료 분야 전반에 필요한 사이버 관련 행동 변화를 촉진할 수 없다. 을 준수하는 것은 거의 불가능하기 때문이다”라고 그린하르그 씨는 말했다.

“중요한 CPG의 목표는 악당이 침입 할 수있는 의료 IT 환경에 대한 공격을 막는 데 효과적이지만, 현재 임상 현장과 의료 기관의 보안을 보장하는 중요한 요구 사항을 간과하고 있습니다. 합니다. [operational technology] 구명 케어를 제공할 때 상호 연결된 역할을 하는 장치입니다. “

그는 다음과 같이 덧붙였다. 백악관의 국가 사이버 보안 전략 이것은 사이버 보안 공격에 대한 방어를 돕기 위해 “필요한 더 광범위하고 장기적인 접근법”을 따른다.

“준비와 지원, 정보공유, 재정적 지원과 인센티브, 인시던트 대응과 복구, 인재육성, 규제개혁 등 보다 광범위한 개념을 적용함으로써 병원은 공격을 막을 수 있는 기회가 훨씬 높아질 것입니다.”

HHS는 그 안에서 다음과 같이 말했다. 개념 종이지난달 발표하고, 필수 목표는 의료기관을 사이버 공격으로부터 보다 적절히 보호하고, 인시던트 대응을 개선하고, 리스크를 최소화하는 ‘안전대책의 하한’을 설정하는 한편, 강화된 목표는 의료기관 사이버 보안 능력을 성숙시키는 데 도움이됩니다.

이 청은 이후 “국내 병원이 영향이 큰 사이버 보안 관행을 실시하기 위한 재정적 지원과 장려금을 관리하기 위한 새로운 권한과 자금을 획득하기 위해 의회와 협력한다”고 말했다.

HHS는 자원이 부족한 병원을 비롯한 고품질의 의료 제공자가 필수 CPG 도입과 관련된 비용을 커버할 수 있도록 하는 선행 투자와 모든 병원이 강화된 목표에 투자를 장려하는 장려 프로그램을 구상하고 있다고 말했다.

더 큰 추세

10월 중, CISA, HHS, HSCC, 의료 사이버 보안 툴킷 출시 자원과 사이버 능력의 격차를 메우는 노력의 일환으로. 그들은 기업 전체의 위험 분석과 일반적인 사이버 공격의 위험을 줄이기 위해 모든 시스템 및 장치의 취약성 검사를 포함하는 모범 사례를 권장합니다.

자산 목록 작성과 같은 새로운 자발적 CPG의 향상된 목표는 의료 사이버 보호의 기초로 간주됩니다. CISA에 따르면 자산 목록은 완화의 첫 번째 단계입니다.

CISA는 논문에서 “조직의 네트워크에 어떤 자산이 있는지를 아는 것은 사이버 보안의 기초입니다.”보이지 않는 것은 안전하게 유지할 수 없습니다. 완화 가이드 의료 및 공중위생 부문에 영향을 미치는 만연하는 사이버 위협과 싸우기 위해, 동청은 11월에 발표했다.

뉴어크 대학 병원의 최고 정보 보안 책임자인 프랭크 시나트라는 HICP를 포함한 여러 위험 평가를 매년 이용하고 있다고 말했다.그는 인용했다. HICP 규정 준수에는 많은 이점이 있습니다., 향상된 사업 지속 계획을 포함합니다. 그러나 “항상 우선순위와 리소스를 어디에 할당할지가 문제다”고 그는 말했다. 히무스 TV 5월에.

기록상

보건부의 안드레아 팜 부장관은 성명에서 “우리에게는 의료 시스템이 사이버 위협을 견디고 진화하는 위협 상황에 적응하고 보다 회복력 있는 부문을 구축할 수 있도록 지원할 책임이 있다” 라고 말했다.

“이 사이버 보안 성과 목표의 발표는 이러한 CPG에 기반한 HHS 정책과 프로그램 전반에 걸쳐 시행할 수 있는 새로운 사이버 보안 기준을 제시하는 것을 목표로 하기 때문에 이 분야에 있어 앞으로 나아갈 것입니다.”

이 기사는 1월 25일에 갱신되어 Greenhalgh씨로부터의 추가 코멘트가 추가되었다.

Andrea Fox는 Healthcare IT News의 고급 편집자입니다.
이메일: afox@himss.org

Healthcare IT News는 HIMSS Media의 출판물입니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다