HHS amendează furnizorul de servicii medicale pentru că nu protejează informațiile despre pacienți

Publicat în data de: 26 Februarie 2024

Biroul pentru Drepturi Civile (OCR) al Departamentului de Sănătate și Servicii Umane al SUA (HHS) a anunțat o amendă împotriva Green Ridge Behavioral Health pentru că nu a prevenit un atac ransomware care a compromis informațiile personale ale pacienților săi. Aceasta este a doua oară când OCR ia măsuri de aplicare ca răspuns la un atac cibernetic ransomware care a compromis informațiile de sănătate protejate de Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA).

Green Ridge Behavioral Health, un furnizor de servicii de sănătate mintală din Maryland, a căzut victimă în 2019 a unui atac ransomware care a expus datele sensibile a peste 14,000 de pacienți. Investigația OCR a arătat că Green Ridge nu a efectuat analiza de risc cerută de regulile HIPAA și nici nu a implementat măsuri de securitate suficiente pentru a se proteja împotriva unor astfel de atacuri cibernetice. Această supraveghere nu numai că a încălcat reglementările HIPAA, dar a lăsat și informațiile despre pacienți expuse infractorilor cibernetici.

Acțiunea de aplicare include o penalizare de 40,000 USD și impune ca Green Ridge Behavioral Health să elaboreze un plan cuprinzător de acțiuni corective. Acest plan impune furnizorului de asistență medicală să efectueze o analiză amănunțită a riscurilor și să stabilească politici de gestionare a riscurilor, asigurându-se că există măsuri de protecție pentru a proteja datele pacienților împotriva amenințărilor cibernetice viitoare. În plus, OCR va monitoriza îndeaproape eforturile Green Ridge de conformare în următorii trei ani.

Pedepsele și acțiunile ulterioare evidențiază seriozitatea cu care HHS abordează amenințarea tot mai mare din partea infractorilor cibernetici din industria sănătății. HHS spune că în ultimii cinci ani, a existat o creștere cu 256% a încălcărilor care implică hacking și o creștere cu 264% a atacurilor ransomware împotriva furnizorilor de asistență medicală, care au afectat datele HIPAA pentru 134 de milioane de oameni doar în 2023.

„Ransomware-ul devine unul dintre cele mai comune atacuri cibernetice și îi lasă pe pacienți extrem de vulnerabili”, a spus directorul OCR, Melanie Fontes Rainer. „Aceste atacuri provoacă suferință pentru pacienții care nu vor avea acces la dosarele lor medicale, prin urmare, este posibil să nu poată lua cele mai precise decizii cu privire la sănătatea și bunăstarea lor. Furnizorii de servicii medicale trebuie să înțeleagă gravitatea acestor atacuri și trebuie să aibă practici pentru a se asigura că informațiile de sănătate protejate ale pacienților nu sunt supuse unor atacuri cibernetice, cum ar fi ransomware.”

Acțiunea de aplicare a Green Ridge de către HHS trimite un mesaj clar furnizorilor de asistență medicală despre importanța critică a conformității HIPAA și necesitatea măsurilor proactive de securitate cibernetică. Criminalii cibernetici și-au sporit considerabil țintirea sectorului medical, atacurile ransomware reprezentând cea mai mare amenințare la adresa confidențialității pacienților și a integrității serviciilor de asistență medicală. Cazul Green Ridge subliniază necesitatea ca furnizorii de asistență medicală să-și evalueze și să-și îmbunătățească continuu protocoalele de securitate cibernetică pentru a preveni compromiterea informațiilor pacienților.

Pentru a atenua amenințarea cibernetică în creștere și pentru a rămâne în conformitate cu legea HIPAA, OCR recomandă, printre alte acțiuni, următoarele:

• Asigurarea faptului că analiza riscului și managementul riscului sunt efectuate în mod regulat, în special atunci când sunt planificate noi tehnologii și operațiuni de afaceri.
• Implementarea revizuirii periodice a activitatii sistemului informatic.
• Utilizarea autentificării cu mai mulți factori pentru a se asigura că numai utilizatorii autorizați accesează informațiile de sănătate protejate.
• Criptarea informațiilor de sănătate protejate pentru a vă proteja împotriva accesului neautorizat.
• Oferirea de instruire a forței de muncă cu privire la responsabilitățile HIPAA și consolidarea rolului critic al membrilor forței de muncă în protejarea confidențialității și securității pacienților.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/