Το HHS Fines Healthcare Provider επειδή δεν προστατεύει τις πληροφορίες των ασθενών

Δημοσιεύθηκε στις: Φεβρουάριος 26, 2024

Γραφείο Πολιτικών Δικαιωμάτων (OCR) του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) ανακοίνωσε πρόστιμο κατά της Green Ridge Behavioral Health για την αποτυχία να αποτρέψει μια επίθεση ransomware που έθεσε σε κίνδυνο τα προσωπικά στοιχεία των ασθενών της. Αυτή είναι μόνο η δεύτερη φορά που η OCR λαμβάνει μέτρα επιβολής ως απάντηση σε μια κυβερνοεπίθεση ransomware που έθεσε σε κίνδυνο τις πληροφορίες υγείας που προστατεύονται από τον νόμο περί φορητότητας και λογοδοσίας ασφάλισης υγείας (HIPAA).

Η Green Ridge Behavioral Health, ένας πάροχος υπηρεσιών ψυχικής υγείας με έδρα το Μέριλαντ, έπεσε θύμα το 2019 σε επίθεση ransomware που εξέθεσε ευαίσθητα δεδομένα περισσότερων από 14,000 ασθενών. Η έρευνα της OCR αποκάλυψε ότι η Green Ridge δεν είχε διεξαγάγει την ανάλυση κινδύνου που απαιτείται από τους κανόνες HIPAA, ούτε είχε εφαρμόσει επαρκή μέτρα ασφαλείας για την προστασία από τέτοιες επιθέσεις στον κυβερνοχώρο. Αυτή η παράβλεψη όχι μόνο παραβίασε τους κανονισμούς HIPAA αλλά και άφησε τις πληροφορίες των ασθενών εκτεθειμένες σε εγκληματίες στον κυβερνοχώρο.

Η ενέργεια επιβολής περιλαμβάνει μια ποινή 40,000 $ και δίνει εντολή στην Green Ridge Behavioral Health να αναπτύξει ένα ολοκληρωμένο σχέδιο διορθωτικών ενεργειών. Αυτό το σχέδιο απαιτεί από τον πάροχο υγειονομικής περίθαλψης να διεξάγει ενδελεχή ανάλυση κινδύνου και να θεσπίζει πολιτικές διαχείρισης κινδύνου, διασφαλίζοντας ότι υπάρχουν διασφαλίσεις για την προστασία των δεδομένων των ασθενών από μελλοντικές απειλές στον κυβερνοχώρο. Επιπλέον, η OCR θα παρακολουθεί στενά τις προσπάθειες συμμόρφωσης της Green Ridge τα επόμενα τρία χρόνια.

Οι κυρώσεις και οι επακόλουθες ενέργειες υπογραμμίζουν τη σοβαρότητα με την οποία το HHS αντιμετωπίζει την αυξανόμενη απειλή από εγκληματίες στον κυβερνοχώρο στον κλάδο της υγειονομικής περίθαλψης. Το HHS λέει ότι τα τελευταία πέντε χρόνια, σημειώθηκε αύξηση 256% στις παραβιάσεις που περιλαμβάνουν hacking και 264% αύξηση στις επιθέσεις ransomware εναντίον παρόχων υγειονομικής περίθαλψης, που επηρέασαν τα δεδομένα HIPAA 134 εκατομμυρίων ανθρώπων μόνο το 2023.

«Το ransomware γίνεται μια από τις πιο κοινές επιθέσεις στον κυβερνοχώρο και αφήνει τους ασθενείς εξαιρετικά ευάλωτους», δήλωσε η διευθύντρια του OCR, Melanie Fontes Rainer. «Αυτές οι επιθέσεις προκαλούν ανησυχία στους ασθενείς που δεν θα έχουν πρόσβαση στα ιατρικά τους αρχεία, επομένως ενδέχεται να μην είναι σε θέση να λάβουν τις πιο ακριβείς αποφάσεις σχετικά με την υγεία και την ευημερία τους. Οι πάροχοι υγειονομικής περίθαλψης πρέπει να κατανοήσουν τη σοβαρότητα αυτών των επιθέσεων και πρέπει να εφαρμόζουν πρακτικές για να διασφαλίζουν ότι οι προστατευμένες πληροφορίες υγείας των ασθενών δεν υπόκεινται σε κυβερνοεπιθέσεις, όπως το ransomware».

Η δράση επιβολής της Green Ridge από το HHS στέλνει ένα σαφές μήνυμα στους παρόχους υγειονομικής περίθαλψης σχετικά με την κρίσιμη σημασία της συμμόρφωσης με το HIPAA και την ανάγκη για προληπτικά μέτρα κυβερνοασφάλειας. Οι εγκληματίες του κυβερνοχώρου έχουν αυξήσει σημαντικά τη στόχευσή τους στον τομέα της υγειονομικής περίθαλψης, με τις επιθέσεις ransomware να αποτελούν τη μεγαλύτερη απειλή για το απόρρητο των ασθενών και την ακεραιότητα των υπηρεσιών υγειονομικής περίθαλψης. Η υπόθεση Green Ridge υπογραμμίζει την ανάγκη για τους παρόχους υγειονομικής περίθαλψης να αξιολογούν συνεχώς και να ενισχύουν τα πρωτόκολλά τους για την ασφάλεια στον κυβερνοχώρο για να αποτρέψουν τον κίνδυνο διακυβεύματος των πληροφοριών των ασθενών τους.

Για τον μετριασμό της αυξανόμενης απειλής στον κυβερνοχώρο και για να παραμείνει συμμορφωμένος με τη νομοθεσία HIPAA, η OCR συνιστά, μεταξύ άλλων, τις ακόλουθες ενέργειες:

• Διασφάλιση ότι η ανάλυση κινδύνου και η διαχείριση κινδύνων διεξάγονται τακτικά, ειδικά όταν σχεδιάζονται νέες τεχνολογίες και επιχειρηματικές δραστηριότητες.
• Εφαρμογή τακτικής αναθεώρησης της δραστηριότητας του πληροφοριακού συστήματος.
• Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων για να διασφαλιστεί ότι μόνο εξουσιοδοτημένοι χρήστες έχουν πρόσβαση σε προστατευμένες πληροφορίες υγείας.
• Κρυπτογράφηση προστατευμένων πληροφοριών υγείας για προστασία από μη εξουσιοδοτημένη πρόσβαση.
• Παροχή εκπαίδευσης του εργατικού δυναμικού σχετικά με τις ευθύνες HIPAA και ενίσχυση του κρίσιμου ρόλου των μελών του εργατικού δυναμικού στην προστασία της ιδιωτικής ζωής και της ασφάλειας των ασθενών.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/