Egzekwowanie przepisów HIPAA

Biuro Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej (HHS OCR) ogłosiło zawarcie czterech ugód dotyczących przepisów bezpieczeństwa HIPAA w wyniku odrębnych dochodzeń w sprawie ataków ransomware, które dotknęły ponad 427 000 osób. Łączna kwota ugód wynosi 1,165 mln dolarów, a każda z organizacji zobowiązała się do wdrożenia planu działań naprawczych, który będzie monitorowany przez OCR przez okres dwóch lat.

Link

OCR stwierdziło, że ataki hakerskie i oprogramowanie ransomware to najczęstsze rodzaje poważnych naruszeń zgłaszanych do OCR, i podkreśliło, że proaktywne wdrożenie przepisów HIPAA Security Rule przed wystąpieniem naruszenia jest nie tylko wymagane przez prawo, ale stanowi również najlepszą okazję do zapobiegania skutkom udanego cyberataku lub ich ograniczenia.

Foto: https://www.magnific.com/pl

Cztery ugody dotyczyły naruszeń związanych z oprogramowaniem ransomware:

Regional Women’s Health Group / Axia Women’s Health — naruszenie dotyczące 37 989 osób, ugoda w wysokości 320 000 dolarów. Urząd ds. Praw Pacjentów (OCR) stwierdził brak przeprowadzenia dokładnej i kompleksowej analizy ryzyka.

Assured Imaging — naruszenie dotyczące 244 813 osób, ugoda w wysokości 375 000 dolarów. OCR stwierdziło niedopuszczalne ujawnienie danych medycznych (PHI), brak przeprowadzenia dokładnej i kompleksowej analizy ryzyka oraz brak terminowego powiadomienia osób, których dotyczyła sprawa.

Consociate Health — naruszenie dotyczące około 136 539 osób, ugoda w wysokości 225 000 dolarów. OCR stwierdziło brak przeprowadzenia dokładnej i kompleksowej analizy ryzyka po tym, jak atak phishingowy doprowadził do nieuprawnionego dostępu.

Star Group Health Benefits Plan — naruszenie dotyczące około 9 316 osób, ugoda w wysokości 245 000 dolarów. OCR stwierdziło niedozwolone ujawnienie danych medycznych (PHI) oraz brak przeprowadzenia dokładnej i kompleksowej analizy ryzyka.

Cieszę się, że organy regulacyjne podejmują niewygodne tematy, zwłaszcza dotyczące uchybień w zakresie podstawowych praktyk bezpieczeństwa. Dane medyczne są wysoce wrażliwe, organizacje opieki zdrowotnej są często atakowane, oprogramowanie ransomware pozostaje jednym z najczęstszych i najbardziej niszczycielskich zagrożeń, a wiele podmiotów w tym sektorze nadal funkcjonuje na stosunkowo niskim poziomie dojrzałości w zakresie cyberbezpieczeństwa.

Współpracując z różnymi organizacjami w tym sektorze, dostrzegam powtarzające się problemy: dokumentacja bezpieczeństwa oderwana od codziennej praktyki, niedofinansowane zespoły IT i bezpieczeństwa, luki w edukacji i szkoleniach, słabe narzędzia bezpieczeństwa, ograniczony monitoring oraz programy zgodności, które czasami tylko symulują dojrzałość, zamiast ją budować.

Mam nadzieję, że jeśli działania regulacyjne i kary finansowe okażą się niewystarczające, to realia operacyjne związane z oprogramowaniem ransomware staną się punktem zwrotnym.

Autor: Sebastian Burgemejster