HHS亟需强化网络安全以应对复杂挑战

关键要点

美国卫生与公共服务部（HHS）在朝着提高医疗保健行业互通性的方向迈进，但根据监察长办公室的新报告，该机构必须更加努力地现代化其网络安全策略。

该报告””详细阐述了HHS面临的复杂挑战，其中专门提到了网络安全问题。

监察长办公室发现，HHS在改善其网络安全立场方面已经取得了一定进展，尤其是在拜登政府2021年5月的行政命令发布后，该命令要求联邦机构”从根本上和系统地改变其网络安全的做法”。

HHS目前正在最终确定其战略计划，但前进的道路面临着政府和医疗保健行业普遍存在的挑战：持续的网络安全威胁。报告指出，这将”需要大量资源投资以及文化和组织上的变革”。

HHS长期以来一直其信息安全程序，监察长办公室和政府问责局每年的报告都一致认为该程序”无效”，根据联邦信息安全现代化法案（FISMA）的指标，HHS未能满足所有五个要素的“可管理和可测量”成熟度水平。

根据4月发布的最新审计，监察长办公室发现HHS未能达到国土安全部指导关于识别、保护、检测和恢复功能所要求的成熟度水平。

具体而言，HHS在供应链风险管理方面面临困难，“仅在域级别进行了评估，并未计入HHS信息安全程序在2021财政年度的功能或整体有效性结论中。”

HHS正在努力纠正这些漏洞，以满足联邦机构在2024财政年度末对特定网络安全标准和目标的要求，包括采用零信任安全架构的方法。

为了满足这些要求，HHS必须在如何在其各个部门和项目中实施安全性方面进行严肃的组织变革，以确保其资产和资源始终受到保护。

然而，监察长办公室指出，”持续和日益严重的网络安全威胁加剧了HHS在执行其重要卫生和人类服务任务时所面临的数据和技术问题。”如果这些威胁得不到缓解，HHS程序的运营和它所服务个人的健康和福利将始终面临风险。

实际上，HHS的各个部门仅在今年就面临多次复杂的钓鱼攻击和商业电子邮件欺诈攻击，监察长办公室预计这种情况将在可预见的未来恶化——尤其是随着更多设备和技术被引入网络中。

报告指出，HHS面临的挑战是”多方面和复杂的，因为项目需求和时效性常常与网络安全控制和能力竞争。”监察长办公室强调，HHS需要要求其各个部门“采取基于风险的方法，以便快速开发和部署系统”，以期满足行政要求并降低风险。

作为必要转变的一部分，HHS还需要更好地理解持续网络安全威胁所带来的当前风险，以及保护技术和数据的价值。

该机构还面临着由IT和网络安全环境的分散性质带来的持续挑战：“一个相互依赖、日益数字化的健康、社会和行政服务的广泛网络。”在如此大规模的情况下，HHS必须同时应对一系列网络安全要求以及其特定的数据和技术需求。

报告显示，28家国立卫生研究院中有24家获得国会资助并管理各自的预算，拥有自己的领导层，而其印第安卫生服务处则通过地方化的环境来处理其总部、办公室和护理地点的健康使命，提供直接的患者护理