Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

HHS phạt nhà cung cấp dịch vụ chăm sóc sức khỏe vì không bảo vệ thông tin bệnh nhân

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 163

Todd Faulk


Todd Faulk

Được đăng trên: 26 Tháng hai, 2024

Văn phòng Dân quyền (OCR) của Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) đã công bố phạt tiền đối với Green Ridge Behavioral Health vì không ngăn chặn được một cuộc tấn công bằng ransomware làm tổn hại thông tin cá nhân của bệnh nhân. Đây chỉ là lần thứ hai OCR thực hiện hành động cưỡng chế để đối phó với một cuộc tấn công mạng bằng ransomware làm tổn hại thông tin sức khỏe được bảo vệ bởi Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA).

Green Ridge Behavioral Health, nhà cung cấp dịch vụ sức khỏe tâm thần có trụ sở tại Maryland, đã trở thành nạn nhân của một cuộc tấn công bằng ransomware vào năm 2019 làm lộ dữ liệu nhạy cảm của hơn 14,000 bệnh nhân. Cuộc điều tra của OCR cho thấy Green Ridge đã không tiến hành phân tích rủi ro theo yêu cầu của các quy tắc HIPAA, cũng như không thực hiện các biện pháp bảo mật đủ để đề phòng các cuộc tấn công mạng như vậy. Sự giám sát này không chỉ vi phạm các quy định của HIPAA mà còn khiến thông tin bệnh nhân bị lộ cho tội phạm mạng.

Hành động thực thi này bao gồm hình phạt 40,000 đô la và yêu cầu Cơ quan Y tế Hành vi Green Ridge xây dựng một kế hoạch hành động khắc phục toàn diện. Kế hoạch này yêu cầu nhà cung cấp dịch vụ chăm sóc sức khỏe tiến hành phân tích rủi ro kỹ lưỡng và thiết lập các chính sách quản lý rủi ro, đảm bảo áp dụng các biện pháp bảo vệ để bảo vệ dữ liệu của bệnh nhân trước các mối đe dọa mạng trong tương lai. Ngoài ra, OCR sẽ giám sát chặt chẽ các nỗ lực tuân thủ của Green Ridge trong ba năm tới.

Hình phạt và các hành động tiếp theo nêu bật mức độ nghiêm trọng mà HHS đang giải quyết mối đe dọa ngày càng tăng từ tội phạm mạng trong ngành chăm sóc sức khỏe. HHS cho biết trong 256 năm qua, số vụ vi phạm liên quan đến hack đã tăng 264% và các cuộc tấn công bằng ransomware nhằm vào các nhà cung cấp dịch vụ chăm sóc sức khỏe tăng 134%, chỉ riêng trong năm 2023 đã ảnh hưởng đến dữ liệu HIPAA của XNUMX triệu người.

Giám đốc OCR Melanie Fontes Rainer cho biết: “Ransomware đang phát triển thành một trong những cuộc tấn công mạng phổ biến nhất và khiến bệnh nhân cực kỳ dễ bị tổn thương”. “Những cuộc tấn công này gây đau khổ cho những bệnh nhân không có quyền truy cập vào hồ sơ y tế của họ, do đó họ có thể không đưa ra quyết định chính xác nhất liên quan đến sức khỏe và tinh thần của mình. Các nhà cung cấp dịch vụ chăm sóc sức khỏe cần hiểu mức độ nghiêm trọng của các cuộc tấn công này và phải có biện pháp thực hành để đảm bảo thông tin sức khỏe được bảo vệ của bệnh nhân không bị tấn công mạng như ransomware.”

Hành động thực thi Green Ridge của HHS gửi một thông điệp rõ ràng tới các nhà cung cấp dịch vụ chăm sóc sức khỏe về tầm quan trọng đặc biệt của việc tuân thủ HIPAA và sự cần thiết của các biện pháp an ninh mạng chủ động. Tội phạm mạng đã tăng cường đáng kể mục tiêu nhắm vào lĩnh vực chăm sóc sức khỏe, với các cuộc tấn công bằng ransomware gây ra mối đe dọa lớn nhất đối với quyền riêng tư của bệnh nhân và tính toàn vẹn của các dịch vụ chăm sóc sức khỏe. Vụ việc Green Ridge nhấn mạnh sự cần thiết của các nhà cung cấp dịch vụ chăm sóc sức khỏe phải liên tục đánh giá và nâng cao các giao thức an ninh mạng của họ để ngăn chặn việc xâm phạm thông tin của bệnh nhân.

Để giảm thiểu mối đe dọa mạng ngày càng tăng và duy trì tuân thủ luật HIPAA, OCR khuyến nghị, cùng với các hành động khác, những hành động sau:

  • Đảm bảo việc phân tích rủi ro và quản lý rủi ro được tiến hành thường xuyên, đặc biệt khi các công nghệ và hoạt động kinh doanh mới được lên kế hoạch.
  • Thực hiện rà soát thường xuyên hoạt động của hệ thống thông tin.
  • Sử dụng xác thực đa yếu tố để đảm bảo chỉ những người dùng được ủy quyền mới truy cập thông tin sức khỏe được bảo vệ.
  • Mã hóa thông tin sức khỏe được bảo vệ để bảo vệ khỏi sự truy cập trái phép.
  • Cung cấp đào tạo lực lượng lao động về trách nhiệm HIPAA và củng cố vai trò quan trọng của các thành viên lực lượng lao động trong việc bảo vệ quyền riêng tư và an ninh của bệnh nhân.
tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.