HHS ปรับผู้ให้บริการด้านการดูแลสุขภาพเนื่องจากไม่สามารถปกป้องข้อมูลของผู้ป่วย

เผยแพร่เมื่อ: กุมภาพันธ์ 26, 2024

สำนักงานเพื่อสิทธิพลเมือง (OCR) ของกระทรวงสาธารณสุขและบริการมนุษย์แห่งสหรัฐอเมริกา (HHS) ได้ประกาศ ค่าปรับต่อ Green Ridge Behavioral Health เนื่องจากไม่สามารถป้องกันการโจมตีของแรนซัมแวร์ที่ทำลายข้อมูลส่วนบุคคลของผู้ป่วย นี่เป็นเพียงครั้งที่สองที่ OCR ดำเนินการบังคับใช้เพื่อตอบสนองต่อการโจมตีทางไซเบอร์ของแรนซัมแวร์ที่ทำลายข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองโดย Health Insurance Portability and Accountability Act (HIPAA)

Green Ridge Behavioral Health ผู้ให้บริการด้านสุขภาพจิตในรัฐแมรี่แลนด์ ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ในปี 2019 ซึ่งเปิดเผยข้อมูลที่ละเอียดอ่อนของผู้ป่วยมากกว่า 14,000 ราย การสืบสวนของ OCR เปิดเผยว่า Green Ridge ไม่ได้ดำเนินการวิเคราะห์ความเสี่ยงที่กำหนดตามกฎ HIPAA และไม่ได้ใช้มาตรการรักษาความปลอดภัยที่เพียงพอเพื่อป้องกันการโจมตีทางไซเบอร์ดังกล่าว การกำกับดูแลนี้ไม่เพียงแต่ละเมิดกฎระเบียบ HIPAA แต่ยังทำให้ข้อมูลผู้ป่วยถูกเปิดเผยต่ออาชญากรไซเบอร์อีกด้วย

การดำเนินการบังคับใช้ประกอบด้วยค่าปรับ 40,000 ดอลลาร์ และคำสั่งให้ Green Ridge Behavioral Health พัฒนาแผนปฏิบัติการแก้ไขที่ครอบคลุม แผนนี้กำหนดให้ผู้ให้บริการด้านการดูแลสุขภาพดำเนินการวิเคราะห์ความเสี่ยงอย่างละเอียดและกำหนดนโยบายการบริหารความเสี่ยง เพื่อให้มั่นใจว่ามีการป้องกันเพื่อปกป้องข้อมูลผู้ป่วยจากภัยคุกคามทางไซเบอร์ในอนาคต นอกจากนี้ OCR จะติดตามความพยายามในการปฏิบัติตามกฎระเบียบของ Green Ridge อย่างใกล้ชิดตลอดสามปีข้างหน้า

บทลงโทษและการดำเนินการติดตามผลเน้นย้ำถึงความจริงจังของ HHS ในการจัดการกับภัยคุกคามที่เพิ่มขึ้นจากอาชญากรไซเบอร์ในอุตสาหกรรมการดูแลสุขภาพ HHS กล่าวว่าในช่วงห้าปีที่ผ่านมา มีการละเมิดที่เกี่ยวข้องกับการแฮ็กเพิ่มขึ้น 256% และการโจมตีแรนซัมแวร์ต่อผู้ให้บริการด้านสุขภาพเพิ่มขึ้น 264% ซึ่งส่งผลกระทบต่อข้อมูล HIPAA ของผู้คน 134 ล้านคนในปี 2023 เพียงปีเดียว

“แรนซัมแวร์กำลังเติบโตจนกลายเป็นหนึ่งในการโจมตีทางไซเบอร์ที่พบบ่อยที่สุด และทำให้ผู้ป่วยมีความเสี่ยงอย่างมาก” เมลานี ฟอนเตส ไรเนอร์ ผู้อำนวยการ OCR กล่าว “การโจมตีเหล่านี้สร้างความลำบากใจให้กับผู้ป่วยที่ไม่สามารถเข้าถึงเวชระเบียน ดังนั้นพวกเขาจึงอาจไม่สามารถตัดสินใจเกี่ยวกับสุขภาพและความเป็นอยู่ของตนเองได้แม่นยำที่สุด ผู้ให้บริการด้านการแพทย์จำเป็นต้องเข้าใจความร้ายแรงของการโจมตีเหล่านี้ และต้องมีแนวทางปฏิบัติเพื่อให้แน่ใจว่าข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองของผู้ป่วยจะไม่ตกอยู่ภายใต้การโจมตีทางไซเบอร์ เช่น แรนซัมแวร์”

การดำเนินการบังคับใช้ Green Ridge โดย HHS ส่งข้อความที่ชัดเจนไปยังผู้ให้บริการด้านการดูแลสุขภาพเกี่ยวกับความสำคัญที่สำคัญของการปฏิบัติตามข้อกำหนด HIPAA และความจำเป็นสำหรับมาตรการรักษาความปลอดภัยทางไซเบอร์เชิงรุก อาชญากรไซเบอร์ได้เพิ่มการกำหนดเป้าหมายในภาคการดูแลสุขภาพอย่างมาก โดยการโจมตีด้วยแรนซัมแวร์ถือเป็นภัยคุกคามที่ใหญ่ที่สุดต่อความเป็นส่วนตัวของผู้ป่วยและความสมบูรณ์ของบริการด้านการดูแลสุขภาพ กรณี Green Ridge เน้นย้ำถึงความจำเป็นสำหรับผู้ให้บริการด้านการดูแลสุขภาพในการประเมินและปรับปรุงโปรโตคอลความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง เพื่อป้องกันการเปิดเผยข้อมูลของผู้ป่วย

เพื่อบรรเทาภัยคุกคามทางไซเบอร์ที่เพิ่มขึ้นและเพื่อให้สอดคล้องกับกฎหมาย HIPAA OCR ขอแนะนำเหนือการดำเนินการอื่นๆ ดังต่อไปนี้:

• จัดให้มีการวิเคราะห์ความเสี่ยงและการบริหารความเสี่ยงอย่างสม่ำเสมอ โดยเฉพาะอย่างยิ่งเมื่อมีการวางแผนเทคโนโลยีและการดำเนินธุรกิจใหม่ๆ
• การดำเนินการทบทวนกิจกรรมระบบสารสนเทศอย่างสม่ำเสมอ
• การใช้การรับรองความถูกต้องแบบหลายปัจจัยเพื่อให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่เข้าถึงข้อมูลสุขภาพที่ได้รับการคุ้มครอง
• การเข้ารหัสข้อมูลสุขภาพที่ได้รับการคุ้มครองเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
• ให้การฝึกอบรมบุคลากรเกี่ยวกับความรับผิดชอบของ HIPAA และเสริมสร้างบทบาทที่สำคัญของสมาชิกบุคลากรในการปกป้องความเป็นส่วนตัวและความปลอดภัยของผู้ป่วย

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/