HHS Sağlık Hizmeti Sağlayıcısına Hasta Bilgilerini Korumadığı İçin Ceza Verdi

Yayınlandı: Şubat 26, 2024

ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS) Sivil Haklar Dairesi (OCR) duyurdu Green Ridge Behavioral Health'e, hastalarının kişisel bilgilerini tehlikeye atan bir fidye yazılımı saldırısını önleyemediği için para cezası verildi. Bu, OCR'nin, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) tarafından korunan sağlık bilgilerini tehlikeye sokan bir fidye yazılımı siber saldırısına yanıt olarak ikinci kez yaptırım eylemi başlattığı anlamına geliyor.

Maryland merkezli bir akıl sağlığı hizmet sağlayıcısı olan Green Ridge Behavioral Health, 2019 yılında 14,000'den fazla hastanın hassas verilerini açığa çıkaran bir fidye yazılımı saldırısının kurbanı oldu. OCR'nin araştırması, Green Ridge'in HIPAA kurallarının gerektirdiği risk analizini yapmadığını ve bu tür siber saldırılara karşı korunmak için yeterli güvenlik önlemlerini uygulamadığını ortaya çıkardı. Bu gözetim yalnızca HIPAA düzenlemelerini ihlal etmekle kalmadı, aynı zamanda hasta bilgilerinin siber suçluların eline geçmesine de neden oldu.

Yaptırım eylemi 40,000 $'lık bir cezayı içeriyor ve Green Ridge Behavioral Health'in kapsamlı bir düzeltici eylem planı geliştirmesini zorunlu kılıyor. Bu plan, sağlık hizmeti sağlayıcısının kapsamlı bir risk analizi yapmasını ve risk yönetimi politikaları oluşturmasını, böylece hasta verilerinin gelecekteki siber tehditlere karşı korunmasını sağlayacak önlemlerin alınmasını gerektirir. Ayrıca OCR, önümüzdeki üç yıl boyunca Green Ridge'in uyumluluk çabalarını yakından izleyecek.

Ceza ve takip eylemleri, HHS'nin sağlık sektöründe siber suçlulardan kaynaklanan artan tehditle mücadelede gösterdiği ciddiyetin altını çiziyor. HHS, son beş yılda bilgisayar korsanlığı içeren ihlallerde %256, sağlık hizmeti sağlayıcılarına yönelik fidye yazılımı saldırılarında ise %264 artış olduğunu ve bunun yalnızca 134 yılında 2023 milyon kişinin HIPAA verilerini etkilediğini söylüyor.

OCR Direktörü Melanie Fontes Rainer, "Fidye yazılımı en yaygın siber saldırılardan biri haline geliyor ve hastaları son derece savunmasız bırakıyor" dedi. "Bu saldırılar, tıbbi kayıtlarına ulaşamayan hastalar için sıkıntı yaratıyor, dolayısıyla sağlıkları ve refahları konusunda en doğru kararları alamayabilirler. Sağlık hizmeti sağlayıcılarının bu saldırıların ciddiyetini anlamaları ve hastaların korunan sağlık bilgilerinin fidye yazılımı gibi siber saldırılara maruz kalmamasını sağlayacak uygulamalara sahip olmaları gerekiyor.”

HHS'nin Green Ridge yaptırım eylemi, sağlık hizmeti sağlayıcılarına HIPAA uyumluluğunun kritik önemi ve proaktif siber güvenlik önlemlerine duyulan ihtiyaç hakkında açık bir mesaj gönderiyor. Siber suçluların sağlık sektörüne yönelik hedeflemeleri büyük ölçüde artarken, fidye yazılımı saldırıları hasta mahremiyetine ve sağlık hizmetlerinin bütünlüğüne yönelik en büyük tehdidi oluşturuyor. Green Ridge vakası, sağlık hizmeti sağlayıcılarının hasta bilgilerinin tehlikeye atılmasını önlemek için siber güvenlik protokollerini sürekli olarak değerlendirmeleri ve geliştirmeleri gerektiğinin altını çiziyor.

Büyüyen siber tehdidi azaltmak ve HIPAA yasasına uygunluğu sürdürmek için OCR, diğer eylemlerin yanı sıra aşağıdakileri de tavsiye ediyor:

• Özellikle yeni teknolojiler ve iş operasyonları planlandığında risk analizi ve risk yönetiminin düzenli olarak yapılmasını sağlamak.
• Bilgi sistemi faaliyetinin düzenli olarak gözden geçirilmesinin uygulanması.
• Yalnızca yetkili kullanıcıların korunan sağlık bilgilerine erişmesini sağlamak için çok faktörlü kimlik doğrulamanın kullanılması.
• Yetkisiz erişime karşı korunmak için korunan sağlık bilgilerinin şifrelenmesi.
• HIPAA sorumlulukları konusunda iş gücü eğitimi sağlamak ve iş gücü üyelerinin hasta gizliliğini ve güvenliğini korumadaki kritik rolünü güçlendirmek.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/