HHS sakot terveydenhuollon tarjoajalle, jos se ei ole suojannut potilastietoja

Julkaistu: Helmikuu 26, 2024

Yhdysvaltain terveys- ja ihmispalveluministeriön (HHS) kansalaisoikeuksien toimisto (OCR) on ilmoittanut sakko Green Ridge Behavioral Healthia vastaan, koska se ei estänyt ransomware-hyökkäystä, joka vaaransi sen potilaiden henkilökohtaiset tiedot. Tämä on vasta toinen kerta, kun OCR on ryhtynyt täytäntöönpanotoimiin vastauksena lunnasohjelmien kyberhyökkäykseen, joka vaaransi sairausvakuutuksen siirrettävyyttä ja vastuullisuutta koskevan lain (HIPAA) suojaamat terveystiedot.

Marylandissa toimiva mielenterveyspalvelujen tarjoaja Green Ridge Behavioral Health joutui vuonna 2019 kiristysohjelmahyökkäyksen uhriksi, joka paljasti yli 14,000 XNUMX potilaan arkaluontoiset tiedot. OCR:n tutkimuksessa paljastui, että Green Ridge ei ollut tehnyt HIPAA-sääntöjen edellyttämää riskianalyysiä eikä toteuttanut riittäviä turvatoimia suojautuakseen tällaisilta kyberhyökkäyksiltä. Tämä valvonta ei ainoastaan ​​rikkonut HIPAA-sääntöjä, vaan myös jätti potilastiedot alttiin verkkorikollisille.

Täytäntöönpanotoimiin sisältyy 40,000 XNUMX dollarin sakko ja Green Ridge Behavioral Healthin tehtävänä on laatia kattava korjaava toimintasuunnitelma. Tämä suunnitelma edellyttää, että terveydenhuollon tarjoaja tekee perusteellisen riskianalyysin ja laatii riskinhallintakäytännöt varmistaen, että suojatoimet ovat käytössä potilaiden tietojen suojaamiseksi tulevilta kyberuhkilta. Lisäksi OCR seuraa tarkasti Green Ridgen noudattamista seuraavien kolmen vuoden aikana.

Rangaistukset ja jatkotoimenpiteet korostavat sitä, kuinka vakavasti HHS suhtautuu terveydenhuoltoalan kyberrikollisten aiheuttamaan kasvavaan uhkaan. HHS sanoo, että viimeisten viiden vuoden aikana hakkerointiin liittyvien tietoturvaloukkausten määrä on lisääntynyt 256 % ja terveydenhuollon tarjoajia vastaan ​​kohdistetut kiristysohjelmahyökkäykset 264 %, mikä vaikutti 134 miljoonan ihmisen HIPAA-tietoihin pelkästään vuonna 2023.

"Ransomware on kasvamassa yhdeksi yleisimmistä kyberhyökkäyksistä ja jättää potilaat erittäin haavoittuvaiksi", sanoi OCR-johtaja Melanie Fontes Rainer. "Nämä hyökkäykset aiheuttavat ahdistusta potilaille, jotka eivät pääse käsiksi potilastietoihinsa, joten he eivät välttämättä pysty tekemään tarkimpia päätöksiä terveyteensä ja hyvinvointiinsa liittyen. Terveydenhuollon tarjoajien on ymmärrettävä näiden hyökkäysten vakavuus, ja heillä on oltava käytössään käytännöt, joilla varmistetaan, että potilaiden suojatut terveystiedot eivät joudu verkkohyökkäyksiin, kuten lunnasohjelmiin.

HHS:n Green Ridge -valvontatoimi lähettää terveydenhuollon tarjoajille selkeän viestin HIPAA-yhteensopivuuden kriittisestä merkityksestä ja ennakoivien kyberturvallisuustoimenpiteiden tarpeesta. Kyberrikolliset ovat suuresti lisänneet kohdentamistaan ​​terveydenhuoltosektorille, ja kiristysohjelmahyökkäykset ovat suurin uhka potilaiden yksityisyydelle ja terveydenhuoltopalvelujen eheydelle. Green Ridge -tapaus korostaa, että terveydenhuollon tarjoajien on jatkuvasti arvioitava ja parannettava kyberturvallisuusprotokolliaan potilaiden tietojen vaarantumisen estämiseksi.

Kasvavan kyberuhan lieventämiseksi ja HIPAA-lain noudattamiseksi OCR suosittelee muun muassa seuraavia toimia:

• Varmistetaan, että riskianalyysit ja riskienhallinta tehdään säännöllisesti, erityisesti kun uusia teknologioita ja liiketoimintaa suunnitellaan.
• Tietojärjestelmän toiminnan säännöllisen tarkastelun toteuttaminen.
• Hyödyntämällä monitekijätodennusta varmistaaksesi, että vain valtuutetut käyttäjät pääsevät käsiksi suojattuihin terveystietoihin.
• Suojattujen terveystietojen salaus luvattomalta käytöltä.
• Työvoiman koulutus HIPAA:n vastuista ja työntekijöiden kriittisen roolin vahvistaminen potilaiden yksityisyyden ja turvallisuuden suojelemisessa.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/