HHS kaznuje izvajalca zdravstvenih storitev, ker ni zaščitil podatkov o pacientih

Objavljeno dne: Februar 26, 2024

Urad za državljanske pravice (OCR) Ministrstva za zdravje in socialne zadeve ZDA (HHS) je napovedal, globo Green Ridge Behavioral Health, ker ni preprečil napada z izsiljevalsko programsko opremo, ki je ogrozila osebne podatke njenih pacientov. To je šele drugič, da je OCR sprejel izvršilne ukrepe kot odgovor na kibernetski napad z izsiljevalsko programsko opremo, ki je ogrozil zdravstvene podatke, zaščitene z Zakonom o prenosljivosti in odgovornosti zdravstvenega zavarovanja (HIPAA).

Green Ridge Behavioral Health, ponudnik storitev duševnega zdravja s sedežem v Marylandu, je leta 2019 postal žrtev napada izsiljevalske programske opreme, ki je razkrila občutljive podatke več kot 14,000 bolnikov. Preiskava OCR je razkrila, da Green Ridge ni izvedel analize tveganja, ki jo zahtevajo pravila HIPAA, niti ni uvedel zadostnih varnostnih ukrepov za zaščito pred takšnimi kibernetskimi napadi. Ta spregled ni le kršil predpisov HIPAA, temveč je tudi pustil podatke o pacientih izpostavljene kibernetskim kriminalcem.

Izvršilni ukrep vključuje kazen v višini 40,000 $ in zahteva, da Green Ridge Behavioral Health pripravi celovit načrt korektivnih ukrepov. Ta načrt od izvajalca zdravstvenega varstva zahteva, da izvede temeljito analizo tveganja in vzpostavi politike obvladovanja tveganja, s čimer zagotovi, da so vzpostavljeni zaščitni ukrepi za zaščito bolnikovih podatkov pred prihodnjimi kibernetskimi grožnjami. Poleg tega bo OCR v naslednjih treh letih pozorno spremljal prizadevanja družbe Green Ridge za skladnost.

Kazen in nadaljnji ukrepi poudarjajo resnost, s katero HHS obravnava naraščajočo grožnjo kibernetskih kriminalcev v zdravstveni industriji. HHS pravi, da je v zadnjih petih letih prišlo do 256-odstotnega povečanja kršitev, ki vključujejo vdiranje, in 264-odstotnega povečanja napadov z izsiljevalsko programsko opremo proti izvajalcem zdravstvenega varstva, kar je vplivalo na podatke HIPAA za 134 milijonov ljudi samo v letu 2023.

»Izsiljevalska programska oprema postaja eden najpogostejših kibernetskih napadov in povzroča izjemno ranljivost pacientov,« je dejala direktorica OCR Melanie Fontes Rainer. »Ti napadi povzročajo stisko pri pacientih, ki ne bodo imeli dostopa do svoje zdravstvene kartoteke, zato morda ne bodo mogli sprejemati najbolj pravilnih odločitev glede svojega zdravja in počutja. Ponudniki zdravstvenega varstva morajo razumeti resnost teh napadov in morajo imeti vzpostavljene prakse za zagotovitev, da zaščiteni zdravstveni podatki pacientov niso izpostavljeni kibernetskim napadom, kot je izsiljevalska programska oprema.«

Izvršilni ukrep Green Ridge, ki ga izvaja HHS, ponudnikom zdravstvenih storitev pošilja jasno sporočilo o kritičnem pomenu skladnosti s HIPAA in potrebi po proaktivnih ukrepih kibernetske varnosti. Kibernetski kriminalci so zelo povečali svoje ciljanje na zdravstveni sektor, pri čemer napadi z izsiljevalsko programsko opremo predstavljajo največjo grožnjo zasebnosti pacientov in integriteti zdravstvenih storitev. Primer Green Ridge poudarja nujnost, da ponudniki zdravstvenega varstva nenehno ocenjujejo in izboljšujejo svoje protokole kibernetske varnosti, da preprečijo ogrožanje podatkov svojih pacientov.

Da bi ublažili naraščajočo kibernetsko grožnjo in ohranili skladnost z zakonodajo HIPAA, OCR med drugim priporoča naslednje:

• Zagotavljanje rednega izvajanja analize tveganj in obvladovanja tveganj, še posebej pri načrtovanju novih tehnologij in poslovanja.
• Izvajanje rednega pregleda delovanja informacijskega sistema.
• Uporaba večfaktorske avtentikacije za zagotovitev, da samo pooblaščeni uporabniki dostopajo do zaščitenih zdravstvenih informacij.
• Šifriranje zaščitenih zdravstvenih informacij za zaščito pred nepooblaščenim dostopom.
• Zagotavljanje usposabljanja delovne sile o odgovornostih HIPAA in krepitev ključne vloge članov delovne sile pri varovanju zasebnosti in varnosti bolnikov.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/