A HHS bírságot szab ki egészségügyi szolgáltatónak, ha nem védi a betegek adatait

Kiadja: Február 26, 2024

Az Egyesült Államok Egészségügyi és Humánszolgáltatási Minisztériuma (HHS) Polgári Jogi Hivatala (OCR) bejelentette, pénzbírságot szabtak ki a Green Ridge Behavioral Health ellen, mert nem akadályozta meg a ransomware támadást, amely veszélyeztette a betegek személyes adatait. Ez csak a második alkalom, hogy az OCR végrehajtási intézkedést hoz egy zsarolóvírus-kibertámadásra, amely veszélyeztette az egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) által védett egészségügyi információkat.

A Green Ridge Behavioral Health, a marylandi székhelyű mentálhigiénés szolgáltató 2019-ben áldozatul esett egy ransomware-támadásnak, amely több mint 14,000 XNUMX beteg érzékeny adatait tette közzé. Az OCR vizsgálata feltárta, hogy a Green Ridge nem végezte el a HIPAA-szabályok által megkövetelt kockázatelemzést, és nem vezetett be elegendő biztonsági intézkedéseket az ilyen kibertámadások elleni védekezéshez. Ez a felügyelet nemcsak megsértette a HIPAA előírásait, hanem a betegek információit is kiszolgáltatta a kiberbűnözőknek.

A végrehajtási intézkedés 40,000 XNUMX dolláros büntetést tartalmaz, és felhatalmazza a Green Ridge Behavioral Health-et, hogy dolgozzon ki átfogó korrekciós cselekvési tervet. Ez a terv megköveteli az egészségügyi szolgáltatótól, hogy végezzen alapos kockázatelemzést és dolgozzon ki kockázatkezelési irányelveket, biztosítva ezzel, hogy biztosítékok álljanak rendelkezésre a betegek adatainak a jövőbeli kiberfenyegetésekkel szembeni védelmére. Ezenkívül az OCR szorosan figyelemmel fogja kísérni a Green Ridge megfelelőségi erőfeszítéseit a következő három évben.

A büntetés és az azt követő intézkedések rávilágítanak arra, hogy a HHS milyen komolyan kezeli az egészségügyi ágazat kiberbűnözők által okozott növekvő fenyegetést. A HHS szerint az elmúlt öt évben 256%-kal nőtt a hackeléssel járó jogsértések és 264%-kal nőtt az egészségügyi szolgáltatók elleni ransomware támadások száma, ami csak 134-ban 2023 millió ember HIPAA-adatait érintette.

„A zsarolóprogramok egyre inkább az egyik leggyakoribb kibertámadássá válnak, és rendkívül sebezhetővé teszi a betegeket” – mondta Melanie Fontes Rainer, az OCR igazgatója. „Ezek a támadások szorongást okoznak azoknak a betegeknek, akik nem férnek hozzá az egészségügyi dokumentációjukhoz, ezért nem biztos, hogy képesek a legpontosabb döntéseket hozni egészségükkel és közérzetükkel kapcsolatban. Az egészségügyi szolgáltatóknak meg kell érteniük e támadások súlyosságát, és gyakorlatot kell kialakítaniuk annak biztosítására, hogy a betegek védett egészségügyi információit ne érjék kibertámadások, például zsarolóprogramok.

A HHS Green Ridge végrehajtási intézkedése világos üzenetet küld az egészségügyi szolgáltatóknak a HIPAA-megfelelés kritikus fontosságáról és a proaktív kiberbiztonsági intézkedések szükségességéről. A kiberbűnözők nagymértékben megnövelték az egészségügyi szektort célzó támadásokat, a ransomware támadások jelentik a legnagyobb veszélyt a betegek magánéletére és az egészségügyi szolgáltatások integritására. A Green Ridge-ügy rámutat annak szükségességére, hogy az egészségügyi szolgáltatók folyamatosan értékeljék és javítsák kiberbiztonsági protokolljaikat, hogy megakadályozzák betegeik információinak veszélyeztetését.

A növekvő kiberfenyegetés mérséklése és a HIPAA törvénynek való megfelelés érdekében az OCR többek között a következőket ajánlja:

• A kockázatelemzés és kockázatkezelés rendszeres elvégzésének biztosítása, különösen új technológiák és üzleti műveletek tervezése esetén.
• Az információs rendszer tevékenységének rendszeres felülvizsgálata.
• Többtényezős hitelesítés használata annak biztosítására, hogy csak a jogosult felhasználók férhessenek hozzá a védett egészségügyi információkhoz.
• Védett egészségügyi adatok titkosítása az illetéktelen hozzáférés elleni védelem érdekében.
• A munkaerő képzése a HIPAA feladatairól, valamint a munkaerő tagjainak a betegek magánéletének és biztonságának védelmében betöltött kritikus szerepének megerősítése.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/