После расследования нарушения конфиденциальной медицинской информации 206 695 человек Управление по гражданским правам объявило о мировом соглашении с Doctors Management Services, которая предоставляет медицинские счета, учетные данные плательщиков и другие сторонние медицинские услуги нескольким застрахованным организациям.
ПОЧЕМУ ЭТО ВАЖНО
В апреле 2019 года компания DMS из Массачусетса сообщила, что неавторизованная третья сторона получила доступ к ее сети 1 апреля 2017 года и была активна в ее системе до тех пор, пока 24 декабря 2018 года не была развернута программа-вымогатель.
По данным OCR, в отчете о взломе, поданном в Службу здравоохранения и социального обеспечения США, говорится, что PHI была раскрыта, когда ее сетевой сервер был заражен программой-вымогателем GandCrab.
Расследование OCR инцидента в соответствии с Правилами конфиденциальности, безопасности и уведомления о нарушениях HIPAA выявило доказательства потенциальных сбоев, недостаточного мониторинга системы для защиты от кибератак, а также отсутствия политик и процедур HIPAA, реализующих требования конфиденциальности HIPAA.
В агентстве заявили, что, будучи деловым партнером затрагиваемых организаций, DMS не приняло адекватных мер для защиты конфиденциальности, целостности и доступности электронной ЗМИ.
«DMS не смогла внедрить процедуры регулярной проверки записей активности информационных систем, таких как журналы аудита, отчеты о доступе и отчеты об отслеживании инцидентов безопасности», – говорится в заявлении HHS во вторник.
По мнению директора OCR Мелани Фонтес Райнер, мониторинг и многие другие передовые методы обеспечения кибербезопасности должны регулярно проводиться на предприятии, чтобы предотвратить будущие атаки.
План корректирующих действий, согласованный DMS, определяет шаги, которые оно должно предпринять для защиты ePHI и обеспечения соответствия требованиям HIPAA, которые включают в себя:
- Просмотрите и обновите анализ рисков, чтобы выявить потенциальные риски и уязвимости данных в течение 180 дней с даты вступления плана в силу.
- Обновить общекорпоративный план управления рисками компании для устранения и смягчения любых рисков безопасности и уязвимостей, обнаруженных в утвержденном анализе рисков, в течение 90 дней с момента его утверждения.
- Просмотрите и пересмотрите письменные политики и процедуры для обеспечения соответствия требованиям HIPAA в течение 60 дней с момента утверждения обновленного плана управления рисками.
- Проведите обучение каждого сотрудника, имеющего доступ к закрытой медицинской информации, утвержденным политикам и процедурам HIPAA в течение 60 дней, а затем каждые 12 месяцев.
DMS должен предоставлять ежегодные отчеты о соблюдении трехлетнего CAP.
БОЛЬШОЙ ТРЕНД
«За последние четыре года количество крупных нарушений, связанных с хакерством, о которых сообщалось в OCR, увеличилось на 239%, а количество программ-вымогателей увеличилось на 278%», — сообщает HHS. По данным OCR, хакерство уже выросло на 60% по сравнению с прошлым годом, и в 2023 году оно затронет более 88 миллионов человек.
В течение нескольких лет практика кибербезопасности Известно, что деловые партнеры вызывают утечку медицинских данных.
GandCrab нацелен на старые ПК с Windows больше не поддерживается Microsoft из-за уязвимостей блока сообщений сервера.
SMB позволял компьютерам Microsoft Windows совместно использовать файлы, последовательные порты и принтеры по сети в устаревших системах. Используя эксплойт Агентства национальной безопасности EternalBlue (те же хакерские инструменты, которые использовались в WannaCry и Petya), GandCrab распространялся через спам, поддельные сайты для взлома программного обеспечения и вредоносные сайты WordPress.
«Если мы ленимся исправлять и обновлять наши системы в масштабах всего сектора, GandCrab будет (в некоторой степени) проблематичен для сектора здравоохранения», — сказал Ли Ким, старший директор HIMSS по кибербезопасности и конфиденциальности.
«Но сейчас уже не 1990-е годы, и многие организации здравоохранения стали более активно реализовывать свои программы кибербезопасности», — сказала она. Новости ИТ в сфере здравоохранения в июле 2018 года.
Риски кибербезопасности третьих сторон, исходящие от деловых партнеров, таких как DMS, требуют от медицинских организаций уделять приоритетное внимание безопасности при закупках, регулярно проверять каждый контракт, развертывать программное обеспечение для управления идентификацией и доступом в сетях и системах, внедрять лучшие практики кибергигиены и многое другое.
ПОД ЗАПИСЬ
«Наше соглашение подчеркивает, что атаки с использованием программ-вымогателей становятся все более распространенными и нацелены на систему здравоохранения», — сказал Райнер в заявлении HHS. «Это делает больницы и их пациентов уязвимыми для нарушений данных и безопасности.
«В этой постоянно развивающейся сфере крайне важно, чтобы наша система здравоохранения предпринимала шаги по выявлению и устранению уязвимостей кибербезопасности, а также активно и регулярно анализировала риски, записи и обновляла политики», — добавила она.
Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.
2023-11-01 22:44:25
1698917575
#OCR #заключил #соглашение #за #взлом #помощью #программывымогателя
