组织采购与移植网络的审计报告

关键要点

• 健康与人类服务部的审计发现，组织采购与移植网络（OPTN）存在多项监管和网络安全问题。
• UNOS缺乏系统监控的政策和程序，存在地方管理员未及时停用用户账户的高风险。
• 在2018年之前，OPTN没有网络安全标准和要求，HRSA的监管十分有限。
• HRSA正在完善OPTN的政策和程序，以加强网络安全控制。

健康与人类服务部（HHS）检查总署（OIG）对国家组织采购与移植网络（OPTN）的审计发现在监管和网络安全方面存在多个亟待改善的问题，以确保联邦网络安全要求能够及时得到满足。

具体来说，针对器官共享网络（UNOS），其缺乏系统监控的相关政策或程序，同时其访问控制和风险评估的程序和政策仅为草案形式。

审计还发现，地方站点管理员未能及时停用用户账号的风险较高。唯一能够确保地方管理员停用用户账号的保障措施是由地方站点管理员每年进行的用户账户审计。

报告指出：“在用户终止后，其账户在最多一年内可能仍然处于激活状态并可访问OPTN，这不能算作及时停用，特别是考虑到不法分子可能利用这些闲置但仍然激活的账户不当访问系统与数据。”

OPTN在2018年前没有网络安全标准

健康资源和服务管理局（HRSA）隶属于HHS，负责管理OPTN。HRSA首席信息安全官（CISO）负责监督网络安全控制。然而在2018年之前，“OPTN的合同和国家器官移植法案（NOTA）都不包含网络安全要求和标准。”

报告中提到：“由于HRSA认为在2018年之前无法强制遵守这些要求，因此对OPTN的网络安全监督十分有限。”

HRSA在2018年与UNOS修订了合同，纳入了NIST和FISMA的要求，进而改善了对OPTN的网络安全监督，并增强了监控能力。2020年的评估包括了385项NIST控制中的141项。

因此，OIG对该项目进行了审计，并审查了UNOS使用的多项IT控制，以确定这些措施是否按照联邦要求得以实施。审计人员还要求并审查了所选控制的相关文件，并与人员进行了访谈。

虽然HRSA具备保护移植数据隐私和安全所需的大部分IT控制，但OIG发现该机构需要加强一些关键的网络安全政策，并确认是否进行了访问需求审查。

OIG对以下情况表示担忧：“如果没有最终确定的书面政策和程序，UNOS的工作人员可能不完全理解或按照预期履行其在某些网络安全控制方面的角色与职责，或者OPTN可能无法遵循FISMA规定的NIST控制。”

这些漏洞可能会导致“基本的网络安全控制没有被妥善或完全实施。”此外，一些缺失的控制对及时检测网络攻击或“验证访问受限以及维护器官匹配过程的完整性”至关重要。

HRSA通过电子表格追踪安全政策和工具，以确保所有控制每年或至少每三年得到审计。UNOS在2020年和2021年与第三方安全公司签约，进行器官数据库的渗透测试，作为HRSA行动计划的一部分。

虽然在这一至关重要的方面有不少积极的改善和政策，但OIG发现HRSA在一些方面还需加大力度，特别是HRSA未能确保某些联邦要求的网络安全控制在OPTN中落地，同时应加强对UNOS的监督，以改善用户访问审查和政策执行。

根据NIST的要求，组织必须为每个安全控制类别制定、记录、传播、审查和更新政策和程序，以满足管理、合规和协调的需求。

审计人员指出：“由于OPTN扮演着关键角色，并且所包含的数据非常敏感，安全漏洞可能对脆弱的患者造成重大影响。”

HRSA启动完善OPTN的政策和程序

作为回应，HRSA官员表示，在之前的合同中对其OPTN职责存在不明确之处和限制。OIG指出，该机构在审计期间主动制定了行动计划，以解决某些控制类别缺乏政策文档的问题，这些类别包括OIG所识别的问题。