Todd Faulk
Bureau des droits civils (OCR) du ministère américain de la Santé et des Services sociaux (HHS) a annoncé une amende contre Green Ridge Behavioral Health pour ne pas avoir empêché une attaque de ransomware qui a compromis les informations personnelles de ses patients. Ce n'est que la deuxième fois qu'OCR prend des mesures coercitives en réponse à une cyberattaque de ransomware qui a compromis les informations de santé protégées par la Health Insurance Portability and Accountability Act (HIPAA).
Green Ridge Behavioral Health, un fournisseur de services de santé mentale basé dans le Maryland, a été victime en 2019 d'une attaque de ransomware qui a exposé les données sensibles de plus de 14,000 XNUMX patients. L'enquête de l'OCR a révélé que Green Ridge n'avait pas effectué l'analyse des risques requise par les règles HIPAA, ni mis en œuvre des mesures de sécurité suffisantes pour se prémunir contre de telles cyberattaques. Cette surveillance a non seulement enfreint les réglementations HIPAA, mais a également exposé les informations des patients aux cybercriminels.
La mesure d'application comprend une pénalité de 40,000 XNUMX $ et exige que Green Ridge Behavioral Health élabore un plan d'action corrective complet. Ce plan exige que le prestataire de soins de santé effectue une analyse approfondie des risques et établisse des politiques de gestion des risques, garantissant que des mesures de protection sont en place pour protéger les données des patients contre de futures cybermenaces. De plus, OCR surveillera de près les efforts de conformité de Green Ridge au cours des trois prochaines années.
Les sanctions et les mesures de suivi soulignent le sérieux avec lequel le HHS s'attaque à la menace croissante des cybercriminels dans le secteur de la santé. Le HHS affirme qu'au cours des cinq dernières années, il y a eu une augmentation de 256 % des violations impliquant du piratage et une augmentation de 264 % des attaques de ransomware contre les prestataires de soins de santé, qui ont affecté les données HIPAA de 134 millions de personnes rien qu'en 2023.
« Les ransomwares deviennent l'une des cyberattaques les plus courantes et rendent les patients extrêmement vulnérables », a déclaré Melanie Fontes Rainer, directrice de l'OCR. « Ces attaques provoquent une détresse chez les patients qui n’auront pas accès à leur dossier médical et pourraient donc ne pas être en mesure de prendre les décisions les plus précises concernant leur santé et leur bien-être. Les prestataires de soins de santé doivent comprendre la gravité de ces attaques et doivent mettre en place des pratiques garantissant que les informations de santé protégées des patients ne sont pas soumises à des cyberattaques telles que des ransomwares.
L'action coercitive de Green Ridge menée par le HHS envoie un message clair aux prestataires de soins de santé sur l'importance cruciale de la conformité HIPAA et la nécessité de mesures de cybersécurité proactives. Les cybercriminels ciblent de plus en plus le secteur de la santé, les attaques de ransomware représentant la plus grande menace pour la vie privée des patients et l'intégrité des services de santé. L'affaire Green Ridge souligne la nécessité pour les prestataires de soins de santé d'évaluer et d'améliorer continuellement leurs protocoles de cybersécurité afin d'éviter la compromission des informations de leurs patients.
Pour atténuer la cybermenace croissante et rester conforme à la loi HIPAA, l'OCR recommande, entre autres actions, ce qui suit :
- Veiller à ce que l'analyse et la gestion des risques soient effectuées régulièrement, en particulier lorsque de nouvelles technologies et opérations commerciales sont planifiées.
- Mettre en place une revue régulière de l'activité du système d'information.
- Utiliser l'authentification multifacteur pour garantir que seuls les utilisateurs autorisés accèdent aux informations de santé protégées.
- Cryptage des informations de santé protégées pour se prémunir contre tout accès non autorisé.
- Fournir une formation du personnel sur les responsabilités HIPAA et renforcer le rôle essentiel des membres du personnel dans la protection de la vie privée et de la sécurité des patients.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/
