top of page
Szukaj

Oprogramowanie ransomware atakujące sektor opieki zdrowotnej: kolejna ugoda z Biurem Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej (HHS OCR)

Wielokrotnie pisałem, że sektor opieki zdrowotnej nadal zajmuje wysokie miejsce na liście celów atakujących. Jednocześnie sektor ten wciąż często wykazuje stosunkowo niski poziom dojrzałości cyberbezpieczeństwa w porównaniu z wrażliwością chronionych danych i kluczowym znaczeniem świadczonych usług.


Amerykański Departament Zdrowia i Opieki Społecznej (HHS) ogłosił zawarcie ugody ze spółką Spencer Gifts LLC Flexible Benefits and Welfare Benefit Plans w następstwie incydentu związanego z oprogramowaniem ransomware, który dotknął chronione informacje zdrowotne. Biuro Praw Obywatelskich (OCR) zaznaczyło, że ugoda ta stanowi 20. działanie egzekucyjne dotyczące oprogramowania ransomware oraz 14. działanie egzekucyjne w ramach Inicjatywy Analizy Ryzyka prowadzonej przez OCR.



Według HHS dochodzenie rozpoczęło się po zgłoszeniu naruszenia bezpieczeństwa, które wpłynęło w styczniu 2022 roku. Organizacja otrzymała skargi od pracowników, którzy nie mogli połączyć się z siecią VPN. Później odkryła, że w listopadzie 2021 r. nieuprawniony podmiot uzyskał dostęp do sieci firmy, zainstalował oprogramowanie ransomware, zaszyfrował dane w systemach firmy i zaatakował serwery przechowujące dane medyczne (PHI) programu. Naruszenie mogło dotknąć 10 023 osób, a ujawnione dane obejmowały imiona i nazwiska, adresy, numery telefonów, adresy e-mail oraz numery ubezpieczenia społecznego.


Obraz autorstwa rawpixel.com na Magnific


✅ Urząd OCR zidentyfikował potencjalne naruszenia przepisów HIPAA dotyczących prywatności i bezpieczeństwa, w tym brak przeprowadzenia dokładnej i kompleksowej analizy ryzyka przed wystąpieniem incydentu oraz brak wdrożenia rozsądnych i odpowiednich zasad i procedur zgodnych z HIPAA. Ugoda obejmowała zapłatę w wysokości 450 000 dolarów oraz dwuletni plan działań naprawczych monitorowany przez OCR.


✅ Departament Zdrowia i Opieki Społecznej (HHS) wyraźnie zaleca, aby podmioty podlegające regulacjom identyfikowały miejsca przechowywania ePHI, sposób, w jaki dane te trafiają do systemów, przepływają przez nie i opuszczają je, przeprowadzały i aktualizowały analizy ryzyka, wdrażały plany zarządzania ryzykiem, utrzymywały mechanizmy kontroli audytowej, monitorowały aktywność systemów, uwierzytelniały dostęp, szyfrowały ePHI w stosownych przypadkach oraz zapewniały szkolenia dla pracowników.


✅ Sektor opieki zdrowotnej powinien zatem traktować przygotowanie na ataki ransomware jako kluczową kwestię w zakresie zarządzania i odporności.


Dojrzałe podejście powinno obejmować:

➡️ dokładny spis danych ePHI,

➡️ analizę ryzyka i zarządzanie ryzykiem,

➡️ sprawdzone plany reagowania na incydenty,

➡️ weryfikację procedur tworzenia kopii zapasowych i odzyskiwania danych,

➡️ kontrolę tożsamości i dostępu,

➡️ segmentację sieci,

➡️ ochronę i monitorowanie punktów końcowych,

➡️ zarządzanie ryzykiem związanym z dostawcami i partnerami biznesowymi,

➡️ szkolenia pracowników,

➡️ dowody na to, że środki kontroli faktycznie działają.



 
 
 

Komentarze


Kontakt

BW Advisory sp. z  o.o.

Boczańska 25
03-156 Warszawa
NIP: 525-281-83-52

 

Polityka prywatności

  • LinkedIn
  • Youtube
bottom of page