为什么医疗支付方对整个医疗保健生态环境的 API 安全至关重要

凭借对临床数据和财务数据的强大访问能力，医疗支付方成为整个医疗保健生态环境中进行数据共享的纽带，并且他们日益依赖应用程序编程接口 (API) 来实现数据共享。API 使得在服务提供商、医疗支付方、患者和其他第三方（例如电子健康记录系统、医疗设备公司和健康信息交换机构）之间共享数据成为可能。

推动实现互操作性可以改善患者的治疗效果并提升财务业绩，但也需要做出取舍——特别是重要的合规性要求和安全考虑因素。网络犯罪分子和数据聚合商会对这些能力进行攻击和滥用，从而可能导致安全和隐私问题。

对于医疗支付方来说，通过 API 实施的攻击也可能会导致服务中断，从而影响健康保险年度投保和理赔操作，导致成本高昂的停机并损害公司品牌。

在本博文中，我们将分析与 API 攻击相关的威胁数据和趋势，以了解相关风险的程度并提供抵御风险的最佳做法。

一方面承诺通过数据交换来改善财务业绩和临床结果，另一方面需要遵守强制进行所述交换的监管要求，它们是齐头并进的。重要的是了解这两个方面并针对它们进行优化。

价值医疗 (VBC) 是一种奖励健康成果而不是预约量的纵向方法。向此方法的转变是一个典型示例，说明了现在需要共享的信息的数量和种类。长期以来，医疗支付方一直拥有对患者和服务提供商财务数据的访问权限。但是，更多的 VBC 数据点（例如，服药依从性和入院人数）需要一个不仅更具 创新性 而且更具互操作性的连续体，而且还需要一种共享这些数据的方法。API 是数据管道。

目前，没有任何专门针对 API 使用或安全问题的法规，但很多现行法规中都包含了针对 API 的要求，例如通用数据保护条例 (GDPR)、欧盟的《修订支付服务指令》( PSD2) 以及《支付卡行业数据安全标准》(PCI DSS)。  

针对 API 的要求也在快速发生着变化。值得注意的是，2024 年 3 月的 PCI DSS 4.0 版包含了关于在系统和软件的开发及维护中使用 API 的新标准，以降低违规风险。

并且， 新的 CMS 互操作性和事先授权规则 要求医疗支付方维护三种主要类别的 API。

1. 患者访问 API：这将增加相关成员对他们自己的医疗数据的访问，并且有可能改善成员满意度

2. 服务提供商目录 API：这允许相关成员根据自己所在的位置和医疗专业来搜索医疗保健服务提供商，从而提高医疗服务可及性

3. 医疗支付方-服务提供商 API 和医疗支付方-医疗支付方 API：这些 API 可帮助填补和减少患者护理缺口，并且有可能减少重复和昂贵的服务

更重要的目的是减少昂贵的管理负担——尤其是事先授权的手动处理，这可能意味着患者不得不在某些医疗程序实施前等待其医疗支付方批准这些程序。延迟可能会产生不利（并且往往代价高昂）的医疗影响。

随着患者期望在其所有应用程序中获得相同级别的用户体验，因此性能正在成为一个更严重的问题。这意味着需要保护医疗保健生态系统 免受拒绝服务攻击 以及滥用攻击。

虽然医疗支付方大量使用 API 带来了巨大的好处，但也带来了风险。 API 蔓延 会导致缺乏监测能力，随着攻击面扩大，这种监测能力会减弱。API 往往是复杂数字化转型项目的组成部分，因此它们可能不会受到医疗保健企业的关注，而安全计划受到的关注甚至更少。（但是，仍然有一些不错的参考标准，例如 OWASP 十大 API 安全风险)。 

对于医疗支付方来说，导致这些挑战变得更加复杂的是，日常业务活动中涉及的各类医疗和财务数据既受到严格监管，又容易成为网络犯罪分子的目标。

API 安全性 比以往更加重要，这是我们从风险管理和合规角度得出的结论。但是，由于 API 蔓延，医疗保健 API 的识别、分类和保护变得越来越复杂。

采用强有力的 API 安全计划可帮助您增强 对所有 API 的监测能力 并了解您面临的风险，让您可以加强相关保护措施。以下是四个策略里程碑，可帮助您制定强有力的 API 安全计划。

1. 可通过系统性发现恶意或影子 API 来消除基础架构盲点，并确保每个此类 API 都已停用或纳入 API 安全控制措施中。

2. 分析常见告警类型并更正 API 代码中的缺陷，解决错误配置问题，以及在吸取经验教训的基础上实施预防未来漏洞的流程，以此确定并增强风险态势。

3. 了解正常行为并根据 API 安全告警的激增来识别潜在滥用问题，以此增强 威胁检测 和响应能力。然后，采用明确定义的响应程序，将风险和告警量降低到正常水平。

4. 通过制定正式的 API 威胁搜寻 准则来建立更强的防御措施，目的是在可能的威胁升级为被动情况之前识别它们。

转型永远不会停止，但现在是时候采取措施来控制 API 了。具备恢复能力的医疗保健企业必须能够提供态势感知、促进调查并执行快速响应。