제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

HHS, 환자 정보 보호 실패로 의료 서비스 제공자에게 벌금 부과

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 163

토드 폴크


토드 폴크

에 게시 : 2024년 2월 26일

미국 보건복지부(HHS) 시민권 사무국(OCR) 발표했다 환자의 개인 정보를 손상시킨 랜섬웨어 공격을 예방하지 못한 Green Ridge Behavioral Health에 벌금을 부과했습니다. 이는 건강 보험 이전 및 책임법(HIPAA)에 의해 보호되는 건강 정보를 손상시킨 랜섬웨어 사이버 공격에 대응하여 OCR이 집행 조치를 취한 두 번째 사례입니다.

메릴랜드에 본사를 둔 정신 건강 서비스 제공업체인 Green Ridge Behavioral Health는 2019년에 14,000명 이상의 환자의 민감한 데이터를 노출시킨 랜섬웨어 공격의 피해자가 되었습니다. OCR의 조사에 따르면 Green Ridge는 HIPAA 규정에서 요구하는 위험 분석을 수행하지 않았으며 그러한 사이버 공격으로부터 보호하기에 충분한 보안 조치를 구현하지도 않은 것으로 나타났습니다. 이러한 감독은 HIPAA 규정을 위반했을 뿐만 아니라 환자 정보를 사이버 범죄자에게 노출시켰습니다.

집행 조치에는 $40,000의 벌금이 포함되며 Green Ridge Behavioral Health가 포괄적인 시정 조치 계획을 개발하도록 명령합니다. 이 계획에서는 의료 서비스 제공자가 철저한 위험 분석을 수행하고 위험 관리 정책을 수립하여 미래의 사이버 위협으로부터 환자 데이터를 보호할 수 있는 안전 장치를 마련해야 합니다. 또한 OCR은 향후 XNUMX년 동안 Green Ridge의 규정 준수 노력을 면밀히 모니터링할 것입니다.

처벌과 후속 조치는 HHS가 의료 업계에서 증가하는 사이버 범죄자의 위협에 대처하는 심각성을 강조합니다. HHS에 따르면 지난 256년 동안 해킹과 관련된 침해가 264% 증가했고, 의료 서비스 제공자를 대상으로 한 랜섬웨어 공격이 134% 증가했으며, 이는 2023년에만 XNUMX억 XNUMX만 명의 HIPAA 데이터에 영향을 미쳤습니다.

OCR 책임자인 Melanie Fontes Rainer는 “랜섬웨어는 가장 일반적인 사이버 공격 중 하나로 성장하고 있으며 환자를 극도로 취약하게 만듭니다.”라고 말했습니다. “이러한 공격은 자신의 의료 기록에 접근할 수 없는 환자에게 고통을 야기하므로 자신의 건강과 복지에 관해 가장 정확한 결정을 내리지 못할 수도 있습니다. 의료 서비스 제공자는 이러한 공격의 심각성을 이해해야 하며 환자의 보호된 건강 정보가 랜섬웨어와 같은 사이버 공격을 받지 않도록 보장하는 관행을 마련해야 합니다.”

HHS의 Green Ridge 시행 조치는 HIPAA 규정 준수의 중요성과 사전 사이버 보안 조치의 필요성에 대해 의료 서비스 제공자에게 명확한 메시지를 보냅니다. 사이버 범죄자들은 ​​의료 부문을 표적으로 삼는 사례를 크게 늘렸습니다. 랜섬웨어 공격은 환자의 개인 정보 보호와 의료 서비스의 무결성에 가장 큰 위협이 됩니다. Green Ridge 사례는 의료 서비스 제공자가 환자 정보의 손상을 방지하기 위해 사이버 보안 프로토콜을 지속적으로 평가하고 강화해야 할 필요성을 강조합니다.

증가하는 사이버 위협을 완화하고 HIPAA 법률을 준수하기 위해 OCR은 무엇보다도 다음 조치를 권장합니다.

  • 특히 새로운 기술과 비즈니스 운영을 계획할 때 위험 분석 및 위험 관리가 정기적으로 수행되도록 합니다.
  • 정보 시스템 활동에 대한 정기적인 검토를 구현합니다.
  • 다단계 인증을 활용하여 승인된 사용자만 보호된 건강 정보에 액세스할 수 있도록 합니다.
  • 무단 액세스로부터 보호하기 위해 보호되는 건강 정보를 암호화합니다.
  • HIPAA 책임에 대한 직원 교육을 제공하고 환자 개인 정보 보호 및 보안을 보호하는 데 있어 직원 구성원의 중요한 역할을 강화합니다.
spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.