HHS штрафує постачальника медичних послуг за нездатність захистити інформацію про пацієнта

HHS штрафує постачальника медичних послуг за нездатність захистити інформацію про пацієнта

Мітка часу: 26 лютого 2024 11:08

Тодд Фолк


Тодд Фолк

Опубліковано: 26 Лютого, 2024

Управління з прав громадян (OCR) Міністерства охорони здоров’я та соціальних служб США (HHS) оголосила штраф проти Green Ridge Behavioral Health за нездатність запобігти атаці програм-вимагачів, яка скомпрометувала особисту інформацію пацієнтів. Це лише другий раз, коли OCR вживає примусових заходів у відповідь на кібератаку програм-вимагачів, яка скомпрометувала медичну інформацію, захищену Законом про перенесення та підзвітність медичного страхування (HIPAA).

Green Ridge Behavioral Health, постачальник послуг психічного здоров’я зі штату Меріленд, у 2019 році став жертвою атаки програм-вимагачів, яка розкрила конфіденційні дані понад 14,000 XNUMX пацієнтів. Розслідування OCR показало, що Green Ridge не провів аналіз ризиків, який вимагається правилами HIPAA, а також не вжив заходів безпеки, достатніх для захисту від таких кібератак. Цей недогляд не лише порушив правила HIPAA, але й став відкритим для інформації про пацієнтів кіберзлочинцям.

Вимушені заходи включають штраф у розмірі 40,000 XNUMX доларів США та зобов’язують Green Ridge Behavioral Health розробити комплексний план коригувальних дій. Цей план вимагає від постачальника медичних послуг провести ретельний аналіз ризиків і встановити політику управління ризиками, гарантуючи наявність заходів безпеки для захисту даних пацієнтів від майбутніх кіберзагроз. Крім того, протягом наступних трьох років OCR уважно стежитиме за зусиллями Green Ridge щодо дотримання нормативних вимог.

Покарання та подальші заходи підкреслюють серйозність, з якою HHS розглядає зростаючу загрозу з боку кіберзлочинців у галузі охорони здоров’я. HHS стверджує, що за останні п’ять років спостерігалося зростання кількості порушень, пов’язаних із хакерством, на 256%, а атак програм-вимагачів проти постачальників медичних послуг – на 264%, що лише в 134 році вплинуло на дані HIPAA для 2023 мільйонів людей.

«Програми-вимагачі стають однією з найпоширеніших кібератак і роблять пацієнтів надзвичайно вразливими», — сказала директор OCR Мелані Фонтес Райнер. «Ці атаки викликають страждання у пацієнтів, які не матимуть доступу до своїх медичних записів, тому вони не зможуть прийняти найточніші рішення щодо свого здоров’я та благополуччя. Постачальники медичних послуг повинні розуміти серйозність цих атак і мати практику, щоб гарантувати, що захищена інформація про здоров’я пацієнтів не піддається кібератакам, таким як програми-вимагачі».

Примусові дії Green Ridge, здійснені HHS, надсилають постачальникам медичних послуг чітке повідомлення про критичну важливість дотримання HIPAA та необхідність проактивних заходів кібербезпеки. Кіберзлочинці значно посилили свою таргетинг на сектор охорони здоров’я, причому атаки програм-вимагачів становлять найбільшу загрозу конфіденційності пацієнтів і цілісності медичних послуг. Справа Green Ridge підкреслює необхідність для постачальників медичних послуг постійно оцінювати та вдосконалювати свої протоколи кібербезпеки, щоб запобігти компрометації інформації своїх пацієнтів.

Щоб пом’якшити зростаючу кіберзагрозу та дотримуватися закону HIPAA, OCR рекомендує, серед інших дій, наступне:

  • Забезпечення регулярного проведення аналізу та управління ризиками, особливо коли плануються нові технології та бізнес-операції.
  • Здійснення регулярного огляду діяльності інформаційної системи.
  • Використання багатофакторної автентифікації для забезпечення доступу до захищеної медичної інформації лише авторизованим користувачам.
  • Шифрування захищеної медичної інформації для захисту від несанкціонованого доступу.
  • Проведення навчання персоналу щодо обов’язків HIPAA та посилення важливої ​​ролі працівників у захисті конфіденційності та безпеки пацієнтів.

Часова мітка:

Більше від Детективи безпеки