HHS multa un fornitore di servizi sanitari per non aver protetto le informazioni dei pazienti

Pubblicato il: 26 Febbraio 2024

Ufficio per i diritti civili (OCR) del Dipartimento della sanità e dei servizi umani (HHS) degli Stati Uniti ha annunciato una multa contro Green Ridge Behavioral Health per non aver impedito un attacco ransomware che ha compromesso le informazioni personali dei suoi pazienti. Ciò segna solo la seconda volta che l’OCR intraprende azioni coercitive in risposta a un attacco informatico ransomware che ha compromesso le informazioni sanitarie protette dall’Health Insurance Portability and Accountability Act (HIPAA).

Green Ridge Behavioral Health, un fornitore di servizi di salute mentale con sede nel Maryland, è stato vittima nel 2019 di un attacco ransomware che ha esposto i dati sensibili di oltre 14,000 pazienti. L'indagine dell'OCR ha rivelato che Green Ridge non aveva condotto l'analisi dei rischi richiesta dalle norme HIPAA, né aveva implementato misure di sicurezza sufficienti per proteggersi da tali attacchi informatici. Questa supervisione non solo ha violato le normative HIPAA, ma ha anche lasciato le informazioni dei pazienti esposte ai criminali informatici.

L'azione coercitiva prevede una sanzione di 40,000 dollari e impone alla Green Ridge Behavioral Health di sviluppare un piano d'azione correttivo completo. Questo piano richiede che l’operatore sanitario conduca un’analisi approfondita del rischio e stabilisca politiche di gestione del rischio, garantendo che siano adottate misure di salvaguardia per proteggere i dati dei pazienti da future minacce informatiche. Inoltre, l'OCR monitorerà da vicino gli sforzi di conformità di Green Ridge nei prossimi tre anni.

La sanzione e le azioni di follow-up evidenziano la serietà con cui l’HHS sta affrontando la crescente minaccia dei criminali informatici nel settore sanitario. HHS afferma che negli ultimi cinque anni si è registrato un aumento del 256% delle violazioni legate all’hacking e un aumento del 264% degli attacchi ransomware contro gli operatori sanitari, che hanno interessato i dati HIPAA di 134 milioni di persone solo nel 2023.

“Il ransomware sta diventando uno degli attacchi informatici più comuni e lascia i pazienti estremamente vulnerabili”, ha affermato la direttrice dell’OCR Melanie Fontes Rainer. “Questi attacchi causano angoscia ai pazienti che non avranno accesso alle proprie cartelle cliniche, pertanto potrebbero non essere in grado di prendere le decisioni più accurate riguardanti la propria salute e il proprio benessere. Gli operatori sanitari devono comprendere la gravità di questi attacchi e devono adottare pratiche per garantire che le informazioni sanitarie protette dei pazienti non siano soggette ad attacchi informatici come i ransomware”.

L’azione di applicazione di Green Ridge da parte dell’HHS invia un chiaro messaggio agli operatori sanitari sull’importanza fondamentale della conformità HIPAA e sulla necessità di misure proattive di sicurezza informatica. I criminali informatici hanno aumentato notevolmente gli attacchi al settore sanitario e gli attacchi ransomware rappresentano la minaccia più grande per la privacy dei pazienti e l’integrità dei servizi sanitari. Il caso Green Ridge sottolinea la necessità per gli operatori sanitari di valutare e migliorare continuamente i propri protocolli di sicurezza informatica per prevenire la compromissione delle informazioni dei propri pazienti.

Per mitigare la crescente minaccia informatica e rimanere conformi alla legge HIPAA, l’OCR raccomanda, tra le altre azioni, quanto segue:

• Garantire che l'analisi e la gestione del rischio siano condotte regolarmente, soprattutto quando sono pianificate nuove tecnologie e operazioni aziendali.
• Implementare una revisione regolare dell’attività del sistema informativo.
• Utilizzo dell'autenticazione a più fattori per garantire che solo gli utenti autorizzati accedano alle informazioni sanitarie protette.
• Crittografia delle informazioni sanitarie protette per proteggerle da accessi non autorizzati.
• Fornire formazione al personale sulle responsabilità HIPAA e rafforzare il ruolo fondamentale dei membri del personale nella protezione della privacy e della sicurezza dei pazienti.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/