NIH 募集計劃中的網絡安全漏洞

主要觀點

• 辦公室檢查發現國立衛生研究院（NIH）的募集計劃未將網絡安全作為要求。
• 政府機構建議NIH建立更具有效性和測量標準的安全措施。
• NIH依賴受助者自行設計、實施及監控網絡安全控制，這可能導致數據保護的潛在差距。
• 除此之外，NIH對于是否遵循推薦的行動計劃并未給予明確的回應。

根據國務院檢查辦公室（OIG）的審核，國立衛生研究院的募款計劃暴露出多項網絡安全風險，并缺乏充分的政策來確保受助者遵循基于風險的協議。

NIH目前的募集政策聲明中的網絡安全條款被認為是“一般性的，并未建立明確且可測量的標準”來應對預先授予過程中的網絡安全風險。此外，網絡安全也不屬于NIHGPS當前授予后過程的范疇。

NIH目前主要依賴受助者來設計、實施、維護及監控其自身的網絡安全控制，以保護數據的機密性。由于這樣，OIG警告NIH可能無法識別保護數據或個人健康信息的潛在漏洞。

美國衛生與公共服務部的檢查辦公室提出了五項詳細建議，以將該計劃提升至更有效的安全標準。然而，NIH并未表明是否同意這些建議，而是將其標記為“已關閉和實施”。

報告中指出：“根據我們對NIH評論的審查，我們認為所描述的行動并不足以應對所識別的網絡安全風險。因此，我們堅持認為我們的發現和建議是準確且有效的。”

NIH每年財政支持超過320億美元的生物醫學研究，向超過300,000名研究人員提供50,000項競爭性獎助，覆蓋超過2,500所美國及全球的高校、醫學院及其他研究機構。

考慮到其程式的廣泛范圍、重要性及大量的病人數據及知識產權，這次審核旨在確保NIH建立基于風險的網絡安全要求，以保護其機密數據和知識產權。

NIH 募集計劃中幾乎未涉及網絡安全

調查結果顯示，NIH在多個關鍵方面缺乏網絡安全協議。具體來說，該機構并沒有對受助者進行充分的預授予風險評估過程。甚至，NIH并不“考慮網絡安全，且不在授獎通知中包含針對網絡安全風險的特殊條款和條件”。

此外，NIHGPS缺乏針對網絡安全的具體風險基準條款，也未進行充分的后授予監控，以確保受助者維持有效的網絡安全，來保護敏感和機密數據及NIH的知識產權。

OIG發現這些重大安全漏洞的主要原因是未對在NIHGPS的預授予程序和資金機會中，如何評估網絡安全風險提供具體細節。

以一個例子來說，NIH對一名被抽樣的受助者進行了監控，主要集中在多因素身份驗證及訪問控制上。OIG指出這是一次“隨機檢查”，并非NIHGPS或贈款的要求。這一差距可歸因于在后授予過程中未納入網絡安全。

如果無法識別潛在的問題，NIH可能無法提供及時的協助。

報告的作者寫道：“在每一個聯邦機構內，管理和監督聯邦贈款的財務管理與贈款管理應該是一種共同的利益。”基于風