Veröffentlicht am: 26. Februar 2024

Das Office for Civil Rights (OCR) des US-Gesundheitsministeriums (HHS) hat angekündigt, eine Geldstrafe gegen Green Ridge Behavioral Health, weil es einen Ransomware-Angriff, der die persönlichen Daten seiner Patienten kompromittiert hat, nicht verhindert hat. Dies ist erst das zweite Mal, dass OCR Durchsetzungsmaßnahmen als Reaktion auf einen Ransomware-Cyberangriff ergriffen hat, bei dem Gesundheitsinformationen gefährdet wurden, die durch den Health Insurance Portability and Accountability Act (HIPAA) geschützt sind.

Green Ridge Behavioral Health, ein in Maryland ansässiger Anbieter von psychiatrischen Dienstleistungen, wurde 2019 Opfer eines Ransomware-Angriffs, der die sensiblen Daten von über 14,000 Patienten preisgab. Die Untersuchung von OCR ergab, dass Green Ridge weder die gemäß den HIPAA-Regeln erforderliche Risikoanalyse durchgeführt noch ausreichende Sicherheitsmaßnahmen zum Schutz vor solchen Cyberangriffen implementiert hatte. Dieses Versehen verstieß nicht nur gegen die HIPAA-Vorschriften, sondern machte auch Patientendaten für Cyberkriminelle zugänglich.

Die Durchsetzungsmaßnahme beinhaltet eine Strafe von 40,000 US-Dollar und schreibt vor, dass Green Ridge Behavioral Health einen umfassenden Korrekturmaßnahmenplan entwickelt. Dieser Plan verlangt vom Gesundheitsdienstleister die Durchführung einer gründlichen Risikoanalyse und die Festlegung von Risikomanagementrichtlinien, um sicherzustellen, dass Sicherheitsmaßnahmen zum Schutz der Patientendaten vor zukünftigen Cyber-Bedrohungen vorhanden sind. Darüber hinaus wird OCR die Compliance-Bemühungen von Green Ridge in den nächsten drei Jahren genau überwachen.

Die Strafen und Folgemaßnahmen unterstreichen die Ernsthaftigkeit, mit der das HHS die wachsende Bedrohung durch Cyberkriminelle im Gesundheitswesen angeht. Laut HHS gab es in den letzten fünf Jahren einen Anstieg der Hacking-Verstöße um 256 % und einen Anstieg der Ransomware-Angriffe gegen Gesundheitsdienstleister um 264 %, die allein im Jahr 134 die HIPAA-Daten von 2023 Millionen Menschen beeinträchtigten.

„Ransomware entwickelt sich zu einem der häufigsten Cyberangriffe und macht Patienten extrem anfällig“, sagte OCR-Direktorin Melanie Fontes Rainer. „Diese Angriffe sind für Patienten belastend, die keinen Zugang zu ihren Krankenakten haben und daher möglicherweise nicht in der Lage sind, die genauesten Entscheidungen bezüglich ihrer Gesundheit und ihres Wohlbefindens zu treffen. Gesundheitsdienstleister müssen die Schwere dieser Angriffe verstehen und über Verfahren verfügen, um sicherzustellen, dass die geschützten Gesundheitsinformationen der Patienten nicht Cyberangriffen wie Ransomware ausgesetzt sind.“

Die Durchsetzungsmaßnahme von HHS in Green Ridge sendet eine klare Botschaft an Gesundheitsdienstleister über die entscheidende Bedeutung der HIPAA-Konformität und die Notwendigkeit proaktiver Cybersicherheitsmaßnahmen. Cyberkriminelle haben den Gesundheitssektor stark ins Visier genommen, wobei Ransomware-Angriffe die größte Bedrohung für die Privatsphäre der Patienten und die Integrität der Gesundheitsdienste darstellen. Der Fall Green Ridge unterstreicht die Notwendigkeit für Gesundheitsdienstleister, ihre Cybersicherheitsprotokolle kontinuierlich zu überprüfen und zu verbessern, um eine Gefährdung der Daten ihrer Patienten zu verhindern.

Um die wachsende Cyber-Bedrohung einzudämmen und die Einhaltung des HIPAA-Gesetzes sicherzustellen, empfiehlt OCR unter anderem Folgendes:

• Sicherstellung, dass Risikoanalysen und Risikomanagement regelmäßig durchgeführt werden, insbesondere wenn neue Technologien und Geschäftsabläufe geplant werden.
• Durchführung einer regelmäßigen Überprüfung der Aktivität des Informationssystems.
• Nutzen Sie die Multi-Faktor-Authentifizierung, um sicherzustellen, dass nur autorisierte Benutzer auf geschützte Gesundheitsinformationen zugreifen.
• Verschlüsselung geschützter Gesundheitsinformationen zum Schutz vor unbefugtem Zugriff.
• Bereitstellung von Schulungen für die Belegschaft zu HIPAA-Verantwortlichkeiten und Stärkung der entscheidenden Rolle der Belegschaftsmitglieder beim Schutz der Privatsphäre und Sicherheit der Patienten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/