Монтефиоре выплатил OCR 4,75 миллиона долларов из-за кражи ePHI

Обновление: комментарии Медицинского центра Монтефиоре были добавлены в историю 7 февраля 2024 г.

Управление по гражданским правам Министерства здравоохранения и социальных служб США объявило в понедельник, что его урегулирование и корректирующие действия с Медицинским центром Монтефиоре, некоммерческой больничной системой, базирующейся в Нью-Йорке, устраняют многочисленные потенциальные нарушения Закона о переносимости и подотчетности медицинского страхования.

ПОЧЕМУ ЭТО ВАЖНО

После того, как в мае 2015 года департамент полиции Нью-Йорка проинформировал медицинский центр Монтефиоре о том, что медицинская информация конкретного пациента была украдена, организация здравоохранения провела расследование и затем сообщила, что сотрудник украл защищенную электронную медицинскую информацию 12 517 пациентов и продал ее.

Сотрудник украл и продал ePHI в течение шести месяцев, и в заявлении OCR говорится, что денежная выплата в размере 4,75 миллиона долларов была связана с нарушениями безопасности данных со стороны Монтефиоре.

По словам директора OCR Мелани Фонтес Райнер, хотя кибератаки со стороны злоумышленников-инсайдеров «нередки», риски ePHI необходимо учитывать.

«Это расследование и урегулирование с Монтефиоре являются примером того, как сектор здравоохранения может подвергаться жестоким нападениям со стороны киберпреступников и воров – даже в их собственных стенах», – заявил Фонтес Райнер в своем заявлении.

«Кибератаки не вызывают дискриминации по размеру или статусу организации, и наша система здравоохранения обязана соблюдать закон для защиты записей пациентов».

OCR заявило, что будет контролировать деятельность Медицинского центра Монтефиоре. план корректирующих действий по кибербезопасности в течение двух лет, чтобы обеспечить соответствие требованиям HIPAA, и подчеркнул необходимость того, чтобы поставщики медицинских услуг, планы медицинского страхования, информационные центры и деловые партнеры, подпадающие под действие HIPAA, нейтрализовали киберугрозы с помощью лучших отраслевых практик.

Агентство отметило, что восемь региональных офисов проводят обучение по кибербезопасности, а также рекомендовало организациям, подпадающим под действие HIPAA, обратиться к следующим ресурсам:

Монтефиоре обратился к Новости ИТ в сфере здравоохранения В среду и отметил, что в организациях здравоохранения в прошлом году произошло самое большое количество кибератак по сравнению с любой другой отраслью критической инфраструктуры в Нью-Йорке.
И хотя этот вопрос «возникает много лет назад» и о нем сообщил сам Монтефиоре, провайдер заявил, что предпринял ряд действий для «улучшения безопасности наших систем и усиления защиты информации о пациентах», включая усиление обучения конфиденциальности и безопасности. персоналу.
«Поскольку системы здравоохранения по всей стране продолжают оставаться объектами утечек данных и других злонамеренных кибератак, мы очень серьезно относимся к своей ответственности за защиту информации о пациентах и ​​по-прежнему стремимся обеспечить постоянное соблюдение протоколов безопасности и мер кибербезопасности для защиты конфиденциальности наших пациентов», Об этом сообщил представитель компании по электронной почте.

БОЛЬШОЙ ТРЕНД

HHS работал с Агентством кибербезопасности и безопасности инфраструктуры над Набор инструментов кибербезопасности для здравоохранения и общественного здравоохранения в октябре опубликовал стратегию кибербезопасности для сектора здравоохранения, в декабре и совсем недавно объявил добровольные цели производительности для повышения кибербезопасности во всем секторе здравоохранения.

Основные цели устанавливают «минимальный уровень мер безопасности» для лучшей защиты медицинских организаций от кибератак, улучшения реагирования на инциденты и минимизации рисков, заявило агентство, опубликовав добровольные цели. Он также будет «работать с Конгрессом, чтобы получить новые полномочия и финансирование для управления финансовой поддержкой и стимулами для отечественных больниц для внедрения высокоэффективных методов кибербезопасности».

Внутренние угрозы могут исходить от персонала, работающего на объекте, а также от учетные данные доступа бывших сотрудниковПо мнению экспертов по кибербезопасности, системам здравоохранения полезно переосмыслить свою культуру кибербезопасности.

В преддверии Форума по кибербезопасности HIMSS 2023 года доктор Эрик Лидерман, директор по медицинской информатике Kaiser Permanente, заявил, что для установления доверия с пациентами также важно, чтобы медицинские организации серьезно относились к их личной безопасности и безопасности персональных данных.

ПОД ЗАПИСЬ

«Кибератаки, осуществляемые инсайдерами, являются одним из многих способов, которые могут привести к нарушению безопасности, в результате чего пациенты становятся уязвимыми», — заявила в своем заявлении заместитель министра здравоохранения Андреа Палм. «HHS продолжит напоминать системам здравоохранения об их ответственности как поставщиков услуг, которая заключается в наличии политик и процедур для обеспечения безопасности медицинской информации пациентов».

Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.