HHS 因未能保护患者信息而对医疗保健提供商处以罚款

发表于： 2024 年 2 月 26 日

美国卫生与公众服务部 (HHS) 民权办公室 (OCR) 已公布 Green Ridge Behavioural Health 因未能阻止勒索软件攻击而被罚款，该攻击损害了患者的个人信息。这只是 OCR 第二次针对勒索软件网络攻击采取执法行动，该攻击损害了受健康保险流通与责任法案 (HIPAA) 保护的健康信息。

总部位于马里兰州的心理健康服务提供商 Green Ridge Behavioral Health 在 2019 年成为勒索软件攻击的受害者，该攻击暴露了超过 14,000 名患者的敏感数据。 OCR 的调查显示，Green Ridge 没有进行 HIPAA 规则要求的风险分析，也没有实施足以防范此类网络攻击的安全措施。这种疏忽不仅违反了 HIPAA 法规，还使患者信息暴露给网络犯罪分子。

执法行动包括 40,000 美元的罚款，并要求 Green Ridge Behavioural Health 制定全面的纠正行动计划。该计划要求医疗保健提供者进行彻底的风险分析并制定风险管理政策，确保采取适当的保护措施来保护患者数据免受未来的网络威胁。此外，OCR 将密切监控 Green Ridge 在未来三年内的合规工作。

处罚和后续行动凸显了美国卫生与公众服务部正在认真应对医疗保健行业网络犯罪分子日益增长的威胁。 HHS 表示，在过去五年中，涉及黑客的违规行为增加了 256%，针对医疗保健提供商的勒索软件攻击增加了 264%，仅 134 年就影响了 2023 亿人的 HIPAA 数据。

OCR 总监 Melanie Fontes Rainer 表示：“勒索软件正在成为最常见的网络攻击之一，使患者极易受到攻击。” “这些攻击给无法访问其医疗记录的患者带来痛苦，因此他们可能无法就自己的健康和福祉做出最准确的决定。医疗保健提供者需要了解这些攻击的严重性，并且必须采取适当的措施，以确保患者受保护的健康信息不会受到勒索软件等网络攻击。”

HHS 的 Green Ridge 执法行动向医疗保健提供者发出了明确的信息，即 HIPAA 合规性的至关重要性以及采取主动网络安全措施的必要性。网络犯罪分子大大增加了对医疗保健行业的攻击目标，勒索软件攻击对患者隐私和医疗保健服务的完整性构成了最大威胁。 Green Ridge 案例强调医疗保健提供者有必要不断评估和增强其网络安全协议，以防止患者信息泄露。

为了减轻日益增长的网络威胁并保持遵守 HIPAA 法，OCR 建议采取以下措施：

• 确保定期进行风险分析和风险管理，特别是在规划新技术和业务运营时。
• 对信息系统活动进行定期审查。
• 利用多重身份验证确保只有授权用户才能访问受保护的健康信息。
• 加密受保护的健康信息以防止未经授权的访问。
• 为员工提供有关 HIPAA 责任的培训，并加强员工在保护患者隐私和安全方面的关键作用。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/