托德·福克
美国卫生与公众服务部 (HHS) 民权办公室 (OCR) 已公布 Green Ridge Behavioural Health 因未能阻止勒索软件攻击而被罚款,该攻击损害了患者的个人信息。这只是 OCR 第二次针对勒索软件网络攻击采取执法行动,该攻击损害了受健康保险流通与责任法案 (HIPAA) 保护的健康信息。
总部位于马里兰州的心理健康服务提供商 Green Ridge Behavioral Health 在 2019 年成为勒索软件攻击的受害者,该攻击暴露了超过 14,000 名患者的敏感数据。 OCR 的调查显示,Green Ridge 没有进行 HIPAA 规则要求的风险分析,也没有实施足以防范此类网络攻击的安全措施。这种疏忽不仅违反了 HIPAA 法规,还使患者信息暴露给网络犯罪分子。
执法行动包括 40,000 美元的罚款,并要求 Green Ridge Behavioural Health 制定全面的纠正行动计划。该计划要求医疗保健提供者进行彻底的风险分析并制定风险管理政策,确保采取适当的保护措施来保护患者数据免受未来的网络威胁。此外,OCR 将密切监控 Green Ridge 在未来三年内的合规工作。
处罚和后续行动凸显了美国卫生与公众服务部正在认真应对医疗保健行业网络犯罪分子日益增长的威胁。 HHS 表示,在过去五年中,涉及黑客的违规行为增加了 256%,针对医疗保健提供商的勒索软件攻击增加了 264%,仅 134 年就影响了 2023 亿人的 HIPAA 数据。
OCR 总监 Melanie Fontes Rainer 表示:“勒索软件正在成为最常见的网络攻击之一,使患者极易受到攻击。” “这些攻击给无法访问其医疗记录的患者带来痛苦,因此他们可能无法就自己的健康和福祉做出最准确的决定。医疗保健提供者需要了解这些攻击的严重性,并且必须采取适当的措施,以确保患者受保护的健康信息不会受到勒索软件等网络攻击。”
HHS 的 Green Ridge 执法行动向医疗保健提供者发出了明确的信息,即 HIPAA 合规性的至关重要性以及采取主动网络安全措施的必要性。网络犯罪分子大大增加了对医疗保健行业的攻击目标,勒索软件攻击对患者隐私和医疗保健服务的完整性构成了最大威胁。 Green Ridge 案例强调医疗保健提供者有必要不断评估和增强其网络安全协议,以防止患者信息泄露。
为了减轻日益增长的网络威胁并保持遵守 HIPAA 法,OCR 建议采取以下措施:
- 确保定期进行风险分析和风险管理,特别是在规划新技术和业务运营时。
- 对信息系统活动进行定期审查。
- 利用多重身份验证确保只有授权用户才能访问受保护的健康信息。
- 加密受保护的健康信息以防止未经授权的访问。
- 为员工提供有关 HIPAA 责任的培训,并加强员工在保护患者隐私和安全方面的关键作用。
- :具有
- :是
- :不是
- 000
- 14
- 2019
- 2023
- 26%
- 40
- a
- Able
- 关于
- ACCESS
- 访问
- 问责制
- 精准的
- 法案
- 操作
- 行动
- 活动
- 另外
- 解决
- 影响
- 联盟
- 驳
- 单
- 还
- 其中
- 分析
- 和
- 保健
- AS
- 评估
- 攻击
- 攻击
- 认证
- 授权
- 头像
- BE
- 很
- 行为
- 最大
- 违规
- 商业
- 但是
- by
- 案件
- 原因
- 民间
- 公民权利
- 清除
- 密切
- 相当常见
- 符合
- 兼容
- 全面
- 妥协
- 折中
- 关于
- 进行
- 进行
- 不断
- 危急
- 网络
- 网络攻击
- 网络攻击
- 网络罪犯
- 网络安全
- data
- 决定
- 问题类型
- 开发
- 副总经理
- 遇险
- 工作的影响。
- 强制
- 提高
- 确保
- 保证
- 特别
- 建立
- 裸露
- 非常
- 失败
- 结束
- 结束
- 五
- 以下
- 针对
- 止
- 未来
- 非常
- 绿色
- 成长
- 守卫
- 黑客
- 民政事务总署
- 有
- 健康管理
- 健康资讯
- 健康险
- 医疗保健
- 医疗保健行业
- 医疗保健行业
- 近期亮点
- HTML
- HTTPS
- 人
- 实施
- 重要性
- in
- 包括
- 增加
- 增加
- 行业中的应用:
- 信息
- 保险
- 诚信
- 调查
- 涉及
- IT
- 它的
- 法律
- 左
- 友情链接
- 使
- 颠覆性技术
- 任务
- 可能..
- 措施
- 医生
- 梅勒妮
- 心理
- 心理健康
- 的话
- 百万
- 减轻
- 显示器
- 最先进的
- 必须
- 必要性
- 需求
- 全新
- 新技术
- 下页
- OCR
- of
- 办公
- on
- 一
- 仅由
- 运营
- 其他名称
- 超过
- 疏忽
- 过去
- 病人
- 患者
- 员工
- 个人
- 地方
- 计划
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 可移植性
- 做法
- 防止
- 隐私
- 隐私和安全
- 主动
- 保护
- 保护
- 保护
- 协议
- 提供者
- 供应商
- 勒索
- 勒索软件攻击
- 勒索软件攻击
- 建议
- 记录
- 定期
- 经常
- 法规
- 留
- 必须
- 需要
- 响应
- 责任
- 揭密
- 检讨
- 权利
- 风险
- 变更管理
- 角色
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- 保障
- 说
- 说
- 其次
- 扇形
- 保安
- 保安措施
- 发送
- 敏感
- 服务
- 服务供应商
- 特色服务
- 这样
- 足够
- 系统
- 拍摄
- 瞄准
- 技术
- 这
- 其
- 那里。
- 因此
- 博曼
- 他们
- Free Introduction
- 彻底
- 威胁
- 威胁
- 三
- 次
- 至
- 托德
- 产品培训
- 擅自
- 下划线
- 理解
- us
- 用户
- 受害者
- 脆弱
- 网页
- ,尤其是
- 这
- WHO
- 将
- 劳动力
- 年
- 和风网