NIH 募集计划中的网络安全漏洞

主要观点

根据国务院检查办公室（OIG）的审核，国立卫生研究院的募款计划暴露出多项网络安全风险，并缺乏充分的政策来确保受助者遵循基于风险的协议。

NIH目前的募集政策声明中的网络安全条款被认为是“一般性的，并未建立明确且可测量的标准”来应对预先授予过程中的网络安全风险。此外，网络安全也不属于NIHGPS当前授予后过程的范畴。

NIH目前主要依赖受助者来设计、实施、维护及监控其自身的网络安全控制，以保护数据的机密性。由于这样，OIG警告NIH可能无法识别保护数据或个人健康信息的潜在漏洞。

美国卫生与公共服务部的检查办公室提出了五项详细建议，以将该计划提升至更有效的安全标准。然而，NIH并未表明是否同意这些建议，而是将其标记为“已关闭和实施”。

报告中指出：“根据我们对NIH评论的审查，我们认为所描述的行动并不足以应对所识别的网络安全风险。因此，我们坚持认为我们的发现和建议是准确且有效的。”

NIH每年财政支持超过320亿美元的生物医学研究，向超过300,000名研究人员提供50,000项竞争性奖助，覆盖超过2,500所美国及全球的高校、医学院及其他研究机构。

考虑到其程式的广泛范围、重要性及大量的病人数据及知识产权，这次审核旨在确保NIH建立基于风险的网络安全要求，以保护其机密数据和知识产权。

调查结果显示，NIH在多个关键方面缺乏网络安全协议。具体来说，该机构并没有对受助者进行充分的预授予风险评估过程。甚至，NIH并不“考虑网络安全，且不在授奖通知中包含针对网络安全风险的特殊条款和条件”。

此外，NIHGPS缺乏针对网络安全的具体风险基准条款，也未进行充分的后授予监控，以确保受助者维持有效的网络安全，来保护敏感和机密数据及NIH的知识产权。

OIG发现这些重大安全漏洞的主要原因是未对在NIHGPS的预授予程序和资金机会中，如何评估网络安全风险提供具体细节。

以一个例子来说，NIH对一名被抽样的受助者进行了监控，主要集中在多因素身份验证及访问控制上。OIG指出这是一次“随机检查”，并非NIHGPS或赠款的要求。这一差距可归因于在后授予过程中未纳入网络安全。

如果无法识别潜在的问题，NIH可能无法提供及时的协助。

报告的作者写道：“在每一个联邦机构内，管理和监督联邦赠款的财务管理与赠款管理应该是一种共同的利益。”基于风