HHS ارائه دهنده مراقبت های بهداشتی را به دلیل عدم محافظت از اطلاعات بیمار جریمه می کند

منتشر شده در: فوریه 26، 2024

دفتر حقوق مدنی وزارت بهداشت و خدمات انسانی (HHS) ایالات متحده (OCR) اعلام کرده است جریمه ای علیه Green Ridge Behavioral Health به دلیل عدم موفقیت در جلوگیری از حمله باج افزار که اطلاعات شخصی بیماران خود را به خطر انداخته است. این دومین باری است که OCR در پاسخ به یک حمله سایبری باج افزار که اطلاعات بهداشتی محافظت شده توسط قانون قابلیت حمل و پاسخگویی بیمه سلامت (HIPAA) را به خطر می اندازد، اقدامات اجرایی انجام می دهد.

Green Ridge Behavioral Health، ارائه‌دهنده خدمات سلامت روان مستقر در مریلند، در سال 2019 قربانی یک حمله باج‌افزاری شد که داده‌های حساس بیش از 14,000 بیمار را فاش کرد. تحقیقات OCR نشان داد که Green Ridge تجزیه و تحلیل خطر مورد نیاز قوانین HIPAA را انجام نداده است، و همچنین اقدامات امنیتی کافی برای محافظت در برابر چنین حملات سایبری را اجرا نکرده است. این نظارت نه تنها مقررات HIPAA را نقض کرد، بلکه اطلاعات بیمار را در معرض مجرمان سایبری قرار داد.

این اقدام اجرایی شامل جریمه 40,000 دلاری می‌شود و سازمان بهداشت رفتاری Green Ridge یک برنامه اقدام اصلاحی جامع را تدوین می‌کند. این طرح از ارائه‌دهنده مراقبت‌های بهداشتی می‌خواهد که یک تجزیه و تحلیل ریسک کامل انجام دهد و سیاست‌های مدیریت ریسک را ایجاد کند، و اطمینان حاصل کند که پادمان‌هایی برای محافظت از داده‌های بیمار در برابر تهدیدات سایبری آینده وجود دارد. علاوه بر این، OCR تلاش های انطباق گرین ریج را در سه سال آینده به دقت زیر نظر خواهد داشت.

مجازات و اقدامات بعدی، جدیت مقابله HHS با تهدید رو به رشد مجرمان سایبری در صنعت مراقبت های بهداشتی را برجسته می کند. HHS می‌گوید که طی پنج سال گذشته، 256 درصد افزایش در نقض‌های مربوط به هک و افزایش 264 درصدی در حملات باج‌افزاری علیه ارائه‌دهندگان مراقبت‌های بهداشتی وجود داشته است که تنها در سال 134 بر داده‌های HIPAA از 2023 میلیون نفر تأثیر گذاشته است.

ملانی فونتس راینر، مدیر OCR گفت: «باج‌افزار در حال رشد است تا یکی از رایج‌ترین حملات سایبری باشد و بیماران را به شدت آسیب‌پذیر می‌کند. "این حملات باعث ناراحتی بیمارانی می شود که به سوابق پزشکی خود دسترسی ندارند، بنابراین ممکن است نتوانند دقیق ترین تصمیم را در مورد سلامت و رفاه خود بگیرند. ارائه‌دهندگان مراقبت‌های بهداشتی باید جدیت این حملات را درک کنند و باید روش‌هایی برای اطمینان از اینکه اطلاعات بهداشتی محافظت‌شده بیماران در معرض حملات سایبری مانند باج‌افزار قرار نمی‌گیرد، داشته باشند.»

اقدام اجرایی Green Ridge توسط HHS پیام روشنی را به ارائه دهندگان مراقبت های بهداشتی در مورد اهمیت حیاتی انطباق با HIPAA و نیاز به اقدامات پیشگیرانه امنیت سایبری ارسال می کند. مجرمان سایبری هدف قرار دادن بخش مراقبت های بهداشتی را به شدت افزایش داده اند، زیرا حملات باج افزار بزرگترین تهدید برای حریم خصوصی بیماران و یکپارچگی خدمات مراقبت های بهداشتی است. مورد گرین ریج بر ضرورت ارزیابی و ارتقای مداوم پروتکل‌های امنیت سایبری توسط ارائه‌دهندگان خدمات بهداشتی برای جلوگیری از به خطر افتادن اطلاعات بیمارانشان تاکید می‌کند.

برای کاهش تهدید رو به رشد سایبری و مطابقت با قانون HIPAA، OCR در میان سایر اقدامات، موارد زیر را توصیه می کند:

• اطمینان از اینکه تجزیه و تحلیل ریسک و مدیریت ریسک به طور منظم انجام می شود، به ویژه زمانی که فناوری های جدید و عملیات تجاری برنامه ریزی شده است.
• اجرای بازبینی منظم فعالیت سیستم اطلاعاتی.
• استفاده از احراز هویت چند عاملی برای اطمینان از اینکه فقط کاربران مجاز به اطلاعات بهداشتی محافظت شده دسترسی دارند.
• رمزگذاری اطلاعات بهداشتی محافظت شده برای محافظت در برابر دسترسی غیرمجاز.
• ارائه آموزش نیروی کار در مورد مسئولیت های HIPAA و تقویت نقش حیاتی اعضای نیروی کار در حفاظت از حریم خصوصی و امنیت بیمار.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/