近来，美国医疗保健行业频遇网络安全事件。医疗行业团体对美国网络安全和基础设施安全局（CISA）发布的网络事件报告提案提出批评，希望相关机构简化和放宽该规则。

《网络安全事件报告》于今年4月初由CISA发布，概述了对关键基础设施的网络安全实体事件的报告要求，旨在推进《2022年关键基础设施网络事件报告法》（CIRCIA）实施。

本意虽好事愿违

根据新规，拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击，并在24小时内报告勒索软件支付情况。CISA估计，未来11年该规定的合规成本将达到26亿美元，即每年约2.3亿美元，其中行业成本为14亿美元，联邦政府成本为12亿美元。

CISA主任Jen Easterly表示，该提案的本意是帮助政府更好了解面临的威胁，更早发现不法分子的活动，提升政府与企业行动协调性，更好应对网络威胁。

该报告涵盖范围广泛，包括拥有超过100张病床以上的医院以及关键医院、某些基本药物制造商、中高风险医疗设备制造商和广泛的信息技术（IT）企业。

健康保险公司、实验室运营商和健康IT提供商没有特定的纳入标准。不过，CISA表示，预计这些机构已受到包括《健康保险携带和责任法案》（HIPAA）和《经济和临床健康信息技术法案》（HITECH）法案规则的约束。

繁杂要求遭质疑

《网络安全事件报告》要求受网络攻击的企业或机构在72小时内报告情况，这一要求遭众多企业反对。美国医院协会（AHA）指出，72小时报告要求不合理，会分散医院对网络攻击的努力。

另一项受批评的规定是CISA要求相关医疗机构对其详细说明并提交网络防御概述。医疗保健信息管理高管学院（CHIME）和医疗集团管理协会（MGMA）等其他行业团体认为，网络安全防御详细情况的提交，会使其成为犯罪分子的攻击目标，造成防御计划披露风险。同时，小型医疗机构面临财务和人员压力，难以承受额外报告负担。

此外，CISA还要求受到网络攻击的实体在事件发生后的2年内保存一系列数据日志、取证和通信记录。AHA补充说，这些数据需要巨大的数据存储容量，并且需要雇用额外的员工才能遵守，造成数据存储与人员压力。

不仅如此，行业组织还指出《网络安全事件报告》的医疗机构覆盖范围不合理，特别是小型医疗机构和未明确提及的企业。

代表健康保险公司的AHIP呼吁明确纳入健康保险商和IT供应商。其提出，应该简化报告要求，以及明晰需要报告的网络事件的定义。AHIP同样认为CISA的适用标准狭窄，并警告说，可能会遗漏某些第三方，包括健康IT提供商和其他在HIPAA下作为商业伙伴的供应商。

行业组织普遍呼吁简化报告要求或大幅提高小型医疗机构的报告门槛。呼吁CISA明确哪些健康保险商、IT供应商和第三方应受覆盖，以免遗漏。各组织强调需要协调不同机构的要求，减少冗余，减轻行业负担，以平衡网络安全与行业可承受能力。

此内容为《医药经济报》融媒体平台原创。未经《医药经济报》授权，不得以任何方式加以使用， 包括转载、摘编、复制或建立镜像。如需获得授权请事前主动联系：020-37886610或020-37886753；yyjjb@21cn.com。