HHS קנסות ספק שירותי בריאות על אי הגנה על מידע המטופל

פורסם ב: פברואר 26, 2024

המשרד לזכויות האזרח (OCR) של משרד הבריאות ושירותי האנוש האמריקאי (HHS) הודיע קנס נגד Green Ridge Behavioral Health על אי מניעת התקפת תוכנת כופר שסכנה את המידע האישי של מטופליה. זוהי הפעם השנייה בלבד ש-OCR נוקטת בפעולות אכיפה בתגובה למתקפת סייבר של תוכנת כופר שפגעה במידע בריאותי המוגן על ידי חוק הניידות והאחריות של ביטוח הבריאות (HIPAA).

Green Ridge Behavioral Health, ספקית שירותי בריאות הנפש ממרילנד, נפלה קורבן בשנת 2019 למתקפת כופר שחשפה את הנתונים הרגישים של למעלה מ-14,000 חולים. החקירה של OCR העלתה שגרין רידג' לא ביצעה את ניתוח הסיכונים הנדרש על פי חוקי HIPAA, וגם לא יישמה אמצעי אבטחה מספיקים כדי להתגונן מפני התקפות סייבר מסוג זה. פיקוח זה לא רק הפר את תקנות HIPAA אלא גם הותיר את מידע המטופל חשוף לפושעי סייבר.

פעולת האכיפה כוללת קנס של 40,000 דולר ומחייבת את Green Ridge Behavioral Health לפתח תוכנית פעולה מתקנת מקיפה. תוכנית זו מחייבת את ספק שירותי הבריאות לערוך ניתוח סיכונים יסודי ולקבוע מדיניות ניהול סיכונים, תוך הבטחה שקיימים אמצעי הגנה כדי להגן על נתוני המטופלים מפני איומי סייבר עתידיים. בנוסף, OCR יעקוב מקרוב אחר מאמצי הציות של Green Ridge במהלך שלוש השנים הבאות.

הענישה ופעולות המעקב מדגישות את הרצינות שבה ה-HHS מטפל באיום הגובר של פושעי סייבר בתעשיית הבריאות. HHS אומר שבמהלך חמש השנים האחרונות, חלה עלייה של 256% בהפרות הכרוכות בפריצה ועלייה של 264% בהתקפות כופר נגד ספקי שירותי בריאות, שהשפיעו על נתוני HIPAA של 134 מיליון אנשים בשנת 2023 בלבד.

"תוכנת כופר הולכת וגדלה להיות אחת ממתקפות הסייבר הנפוצות ביותר ומשאירה מטופלים פגיעים ביותר", אמרה מנהלת OCR, מלאני פונטס ריינר. "התקפות אלו גורמות למצוקה עבור חולים שלא תהיה להם גישה לרשומות הרפואיות שלהם, ולכן ייתכן שהם לא יוכלו לקבל את ההחלטות המדויקות ביותר הנוגעות לבריאותם ולרווחתם. ספקי שירותי בריאות צריכים להבין את חומרת ההתקפות הללו וחייבים לקיים שיטות עבודה כדי להבטיח שהמידע הבריאותי המוגן של החולים אינו נתון להתקפות סייבר כגון תוכנות כופר".

פעולת האכיפה של Green Ridge על ידי HHS שולחת מסר ברור לספקי שירותי בריאות לגבי החשיבות הקריטית של תאימות HIPAA והצורך בצעדי אבטחת סייבר יזומים. פושעי סייבר הגדילו מאוד את המיקוד שלהם למגזר הבריאות, כאשר התקפות תוכנות כופר מהוות את האיום הגדול ביותר על פרטיות המטופל ושלמות שירותי הבריאות. המקרה של גרין רידג' מדגיש את הצורך של ספקי שירותי בריאות להעריך ולשפר ללא הרף את פרוטוקולי אבטחת הסייבר שלהם כדי למנוע פגיעה במידע של המטופלים שלהם.

כדי לצמצם את איום הסייבר הגובר ולהישאר מציית לחוק HIPAA, OCR ממליץ, בין היתר, על הפעולות הבאות:

• הקפדה על ניתוח סיכונים וניהול סיכונים באופן קבוע, במיוחד כאשר מתוכננות טכנולוגיות חדשות ופעולות עסקיות.
• ביצוע סקירה שוטפת של פעילות מערכת המידע.
• שימוש באימות רב-גורמי כדי להבטיח שרק משתמשים מורשים ניגשים למידע בריאותי מוגן.
• הצפנת מידע בריאותי מוגן כדי להגן מפני גישה לא מורשית.
• מתן הכשרה לכוח העבודה על אחריות HIPAA וחיזוק תפקידם הקריטי של חברי כוח העבודה בהגנה על פרטיות המטופל ואבטחתו.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/