Oprogramowanie ransomware atakujące sektor opieki zdrowotnej: kolejna ugoda z Biurem Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej (HHS OCR)
- Katarzyna Celińska

- 17 godzin temu
- 2 minut(y) czytania
Wielokrotnie pisałem, że sektor opieki zdrowotnej nadal zajmuje wysokie miejsce na liście celów atakujących. Jednocześnie sektor ten wciąż często wykazuje stosunkowo niski poziom dojrzałości cyberbezpieczeństwa w porównaniu z wrażliwością chronionych danych i kluczowym znaczeniem świadczonych usług.
Amerykański Departament Zdrowia i Opieki Społecznej (HHS) ogłosił zawarcie ugody ze spółką Spencer Gifts LLC Flexible Benefits and Welfare Benefit Plans w następstwie incydentu związanego z oprogramowaniem ransomware, który dotknął chronione informacje zdrowotne. Biuro Praw Obywatelskich (OCR) zaznaczyło, że ugoda ta stanowi 20. działanie egzekucyjne dotyczące oprogramowania ransomware oraz 14. działanie egzekucyjne w ramach Inicjatywy Analizy Ryzyka prowadzonej przez OCR.
Według HHS dochodzenie rozpoczęło się po zgłoszeniu naruszenia bezpieczeństwa, które wpłynęło w styczniu 2022 roku. Organizacja otrzymała skargi od pracowników, którzy nie mogli połączyć się z siecią VPN. Później odkryła, że w listopadzie 2021 r. nieuprawniony podmiot uzyskał dostęp do sieci firmy, zainstalował oprogramowanie ransomware, zaszyfrował dane w systemach firmy i zaatakował serwery przechowujące dane medyczne (PHI) programu. Naruszenie mogło dotknąć 10 023 osób, a ujawnione dane obejmowały imiona i nazwiska, adresy, numery telefonów, adresy e-mail oraz numery ubezpieczenia społecznego.

Obraz autorstwa rawpixel.com na Magnific
✅ Urząd OCR zidentyfikował potencjalne naruszenia przepisów HIPAA dotyczących prywatności i bezpieczeństwa, w tym brak przeprowadzenia dokładnej i kompleksowej analizy ryzyka przed wystąpieniem incydentu oraz brak wdrożenia rozsądnych i odpowiednich zasad i procedur zgodnych z HIPAA. Ugoda obejmowała zapłatę w wysokości 450 000 dolarów oraz dwuletni plan działań naprawczych monitorowany przez OCR.
✅ Departament Zdrowia i Opieki Społecznej (HHS) wyraźnie zaleca, aby podmioty podlegające regulacjom identyfikowały miejsca przechowywania ePHI, sposób, w jaki dane te trafiają do systemów, przepływają przez nie i opuszczają je, przeprowadzały i aktualizowały analizy ryzyka, wdrażały plany zarządzania ryzykiem, utrzymywały mechanizmy kontroli audytowej, monitorowały aktywność systemów, uwierzytelniały dostęp, szyfrowały ePHI w stosownych przypadkach oraz zapewniały szkolenia dla pracowników.
✅ Sektor opieki zdrowotnej powinien zatem traktować przygotowanie na ataki ransomware jako kluczową kwestię w zakresie zarządzania i odporności.
Dojrzałe podejście powinno obejmować:
➡️ dokładny spis danych ePHI,
➡️ analizę ryzyka i zarządzanie ryzykiem,
➡️ sprawdzone plany reagowania na incydenty,
➡️ weryfikację procedur tworzenia kopii zapasowych i odzyskiwania danych,
➡️ kontrolę tożsamości i dostępu,
➡️ segmentację sieci,
➡️ ochronę i monitorowanie punktów końcowych,
➡️ zarządzanie ryzykiem związanym z dostawcami i partnerami biznesowymi,
➡️ szkolenia pracowników,
➡️ dowody na to, że środki kontroli faktycznie działają.
Autor: Sebastian Burgemejster



Komentarze