HHS تفرض غرامات على مقدمي الرعاية الصحية لفشلهم في حماية معلومات المريض

نشرت في: 26 فبراير 2024

مكتب وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) للحقوق المدنية (OCR) أعلنت فرضت شركة Green Ridge Behavioral Health غرامة مالية على شركة Green Ridge Behavioral Health لفشلها في منع هجوم برامج الفدية الذي أضر بالمعلومات الشخصية لمرضاها. هذه هي المرة الثانية فقط التي تتخذ فيها OCR إجراءً تنفيذيًا ردًا على هجوم إلكتروني من برامج الفدية أدى إلى تعرض المعلومات الصحية المحمية بموجب قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) للخطر.

وقعت شركة Green Ridge Behavioral Health، وهي شركة تقدم خدمات الصحة العقلية ومقرها ماريلاند، ضحية في عام 2019 لهجوم فدية كشف البيانات الحساسة لأكثر من 14,000 مريض. كشف تحقيق OCR أن Green Ridge لم تقم بإجراء تحليل المخاطر الذي تتطلبه قواعد HIPAA، كما أنها لم تنفذ تدابير أمنية كافية للحماية من مثل هذه الهجمات الإلكترونية. لم تنتهك هذه الرقابة لوائح HIPAA فحسب، بل تركت أيضًا معلومات المرضى مكشوفة لمجرمي الإنترنت.

يتضمن إجراء الإنفاذ غرامة قدرها 40,000 ألف دولار ويلزم شركة Green Ridge Behavioral Health بوضع خطة عمل تصحيحية شاملة. تتطلب هذه الخطة من مقدم الرعاية الصحية إجراء تحليل شامل للمخاطر ووضع سياسات لإدارة المخاطر، مما يضمن وجود ضمانات لحماية بيانات المرضى من التهديدات السيبرانية المستقبلية. بالإضافة إلى ذلك، ستقوم OCR بمراقبة جهود الامتثال الخاصة بشركة Green Ridge عن كثب على مدار السنوات الثلاث القادمة.

تسلط العقوبات وإجراءات المتابعة الضوء على الجدية التي تتعامل بها وزارة الصحة والخدمات الإنسانية مع التهديد المتزايد من مجرمي الإنترنت في قطاع الرعاية الصحية. تقول وزارة الصحة والخدمات الإنسانية أنه على مدى السنوات الخمس الماضية، كانت هناك زيادة بنسبة 256% في الانتهاكات التي تنطوي على القرصنة وزيادة بنسبة 264% في هجمات برامج الفدية ضد مقدمي الرعاية الصحية، مما أثر على بيانات HIPAA لـ 134 مليون شخص في عام 2023 وحده.

وقالت ميلاني فونتيس راينر، مديرة OCR: "تنمو برامج الفدية لتصبح واحدة من أكثر الهجمات الإلكترونية شيوعًا وتترك المرضى عرضة للخطر للغاية". "تسبب هذه الهجمات الضيق للمرضى الذين لن يتمكنوا من الوصول إلى سجلاتهم الطبية، وبالتالي قد لا يتمكنون من اتخاذ القرارات الأكثر دقة فيما يتعلق بصحتهم ورفاهيتهم. يحتاج مقدمو الرعاية الصحية إلى فهم خطورة هذه الهجمات ويجب أن يكون لديهم ممارسات معمول بها لضمان عدم تعرض المعلومات الصحية المحمية للمرضى لهجمات إلكترونية مثل برامج الفدية.

يرسل إجراء إنفاذ Green Ridge الذي اتخذته HHS رسالة واضحة إلى مقدمي الرعاية الصحية حول الأهمية الحاسمة للامتثال لقانون HIPAA والحاجة إلى تدابير استباقية للأمن السيبراني. لقد زاد مجرمو الإنترنت من استهدافهم لقطاع الرعاية الصحية بشكل كبير، حيث تشكل هجمات برامج الفدية أكبر تهديد لخصوصية المرضى وسلامة خدمات الرعاية الصحية. تؤكد قضية جرين ريدج على ضرورة قيام مقدمي الرعاية الصحية بتقييم وتعزيز بروتوكولات الأمن السيبراني الخاصة بهم بشكل مستمر لمنع المساس بمعلومات مرضاهم.

للتخفيف من التهديد السيبراني المتزايد والبقاء متوافقًا مع قانون HIPAA، توصي OCR، من بين إجراءات أخرى، بما يلي:

• التأكد من إجراء تحليل المخاطر وإدارة المخاطر بانتظام، خاصة عند التخطيط للتقنيات والعمليات التجارية الجديدة.
• - إجراء مراجعة منتظمة لنشاط نظام المعلومات.
• استخدام المصادقة متعددة العوامل لضمان وصول المستخدمين المصرح لهم فقط إلى المعلومات الصحية المحمية.
• تشفير المعلومات الصحية المحمية للحماية من الوصول غير المصرح به.
• توفير تدريب القوى العاملة على مسؤوليات HIPAA وتعزيز الدور الحاسم لأعضاء القوى العاملة في حماية خصوصية المريض وأمنه.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/