Ugoda w sprawie oprogramowania ransomware HIPAA

Co kilka tygodni pojawiają się nagłówki dotyczące kar nakładanych przez europejskie organy regulacyjne w związku z RODO. Niemal natychmiast rozpoczyna się dyskusja:

„Dlaczego karać firmy, które padły ofiarą ataku? Czy nie są one ofiarami?”.

To uzasadnione pytanie.

Każdy specjalista ds. cyberbezpieczeństwa wie, że żadna organizacja nie jest w 100% odporna na cyberataki. Nawet najbardziej dojrzałe, dobrze finansowane i przygotowane organizacje mogą mieć słabe punkty, które mogą zostać wykorzystane przez wyrafinowanych cyberprzestępców.

Foto: Freepik

Jednakże, co jest bardzo istotne, istnieje różnica między:

➡️ skutecznym atakiem pomimo wdrożenia silnych zabezpieczeń a

➡️ atakiem spowodowanym brakiem wdrożenia podstawowych środków bezpieczeństwa.

Działania egzekucyjne HHS w ramach HIPAA bardzo wyraźnie ilustrują tę różnicę.

🔗 link

Sprawa:

OCR ogłosiło porozumienie z Syracuse ASC, LLC, ambulatoryjnym centrum chirurgicznym w Nowym Jorku, po ataku ransomware, który dotknął 24 891 osób.

Naruszenie dotyczyło odmiany ransomware PYSA, znanej z ataków na podmioty świadczące usługi opieki zdrowotnej.

Według OCR:

➡️ Organizacja nigdy nie przeprowadziła dokładnej i kompleksowej analizy ryzyka związanego z ePHI.

➡️ Nie wdrożyła odpowiednich środków zarządzania ryzykiem.

➡️ Nie powiadomiła o naruszeniu w terminie wymaganym przez HIPAA.

Ugoda obejmowała:

➡️ płatność w wysokości 250 000 dolarów,

➡️ 2-letni plan działań naprawczych,

➡️ obowiązkowe wdrożenie odpowiednich procedur analizy ryzyka i zarządzania ryzykiem.

Czy ofiary powinny być karane?

W tym przypadku istotne są niuanse.

➡️ Tak, nawet dobrze przygotowane organizacje mogą paść ofiarą ataku.

➡️ Tak, ataki ransomware są wyrafinowane i coraz bardziej zautomatyzowane.

Jednak organy regulacyjne nie karzą firm tylko dlatego, że doszło do incydentu.

Kary nakładają, gdy po przeprowadzeniu dochodzenia stwierdzają, że:

➡️ brakowało podstawowych zabezpieczeń,

➡️ nigdy nie przeprowadzono wymaganych analiz ryzyka,

➡️ zignorowano znane luki w zabezpieczeniach,

➡️ naruszono obowiązki dotyczące powiadamiania o naruszeniach.

Cyberhigiena

Organy regulacyjne oczekują co najmniej wdrożenia podstawowych środków kontroli, takich jak:

➡️ ocena ryzyka,

➡️ rejestrowanie audytów,

➡️ kontrola dostępu,

➡️ szyfrowanie w stosownych przypadkach,

➡️ szkolenie pracowników.

Nie są to zaawansowane środki bezpieczeństwa. Są to podstawowe wymagania.

Dojrzałość cyberbezpieczeństwa nie jest mierzona tym, czy doszło do naruszenia, ale tym, czy:

➡️ zidentyfikowano przewidywalne ryzyka,

➡️ wdrożono rozsądne zabezpieczenia,

➡️ udokumentowano swoje działania,

➡️ oraz odpowiednio zareagowano.

Ta sprawa dotycząca HIPAA jest wyraźnym przykładem tego, że egzekwowanie przepisów nie polega na karaniu ofiar, ale na egzekwowaniu podstawowych zasad cyberhigieny.

Autor: Sebastian Burgemejster