31 октября 2023 г. Управление по гражданским правам Министерства здравоохранения и социальных служб США (OCR) объявить Он достиг соглашения с Doctors’ Management Services Inc. (DMS) относительно атаки с использованием программы-вымогателя, о которой сообщили сами пользователи, которая произошла в 2017 году. Согласно пресс-релизу OCR, это первый раз, когда OCR достиг уровня… Колония После того, как сообщалось о нарушении, произошедшем в результате атаки программы-вымогателя.
Субъекты, на которых распространяется Закон о переносимости и подотчетности медицинского страхования 1996 года с поправками, внесенными Законом о медицинских информационных технологиях для экономического и клинического здравоохранения 2009 года (HIPAA), должны рассматривать это как указание на намерение OCR обеспечить, чтобы застрахованные организации и деловые партнеры были готовы для устранения уязвимостей кибербезопасности и активно анализировать и устранять потенциальные риски.
Поведение и отчет об урегулировании
DMS — это фирма по управлению практикой, которая выступает в качестве делового партнера для застрахованных организаций. В конце 2018 года DMS обнаружила, что злоумышленники заразили серверы компании программой-вымогателем GandCrab — разновидностью зашифрованной программы-вымогателя, которая блокирует файлы до тех пор, пока жертва атаки не заплатит выкуп. DMS сообщила, что, хотя злоумышленник не активировал программу-вымогатель до 2018 года, он получил доступ к системам DMS в апреле 2017 года. Нарушение затронуло защищенную медицинскую информацию (PHI) примерно 206 695 человек.
В ходе последующего расследования OCR обнаружил три основные области, в которых DMS не соответствует стандартам, установленным HIPAA. База безопасности:
- DMS не провела тщательного и всестороннего анализа рисков в масштабе всего предприятия для оценки технических, физических и экологических рисков, связанных с обращением с защищенной электронной медицинской информацией (ЗМИ).
- В DMS не внедрены процедуры регулярного просмотра записей активности информационной системы, таких как журналы аудита, отчеты о доступе и отчеты об отслеживании инцидентов безопасности.
- DMS не реализовала соответствующие политики и процедуры для соответствия стандартам и спецификациям реализации, требуемым Правилом безопасности.
В рамках урегулирования компания DMS согласилась выплатить 100 000 долларов США, не признавая ответственности, и придерживаться Плана корректирующих действий (CAP).
Корректирующий план действий
В течение следующих трех лет OCR потребует от DMS выполнения нескольких корректирующих действий, включая начало комплексного анализа рисков безопасности. CAP требует, чтобы DMS провела инвентаризацию всех своих помещений, оборудования и систем — всего, что содержит электронную личную медицинскую информацию — и соответствующим образом обновила свой анализ рисков. Затем DMS должна обновить свой план управления рисками для устранения любых угроз безопасности, обнаруженных после анализа рисков, который должен быть одобрен OCR.
CAP требует, чтобы DMS обновила свою политику и процедуры, чтобы они соответствовали федеральным стандартам безопасности. Как минимум, DMS должна пересмотреть свои политики и процедуры, включив в них проверку активности информационной системы, которая должна быть достаточно обширной, чтобы проверить доступ к локальным устройствам и гарантировать актуальность внешнего межсетевого экрана DMS. CAP требует, чтобы DMS реализовала процедуры информирования о безопасности и обучения. Поскольку DMS внедряет и обучает своих сотрудников, оно обязано продолжать отчитываться перед OCR, и если DMS нарушает политику CAP, OCR может наложить дополнительные гражданские денежные штрафы.
Разветвления
В объявлении об урегулировании после октября, Месяца осведомленности о кибербезопасности, OCR отмечает, что оно будет привлекать затрагиваемые организации и деловых партнеров к ответственности за нарушения программ-вымогателей в той степени, в которой затрагиваемые организации и деловые партнеры не приняли меры предосторожности для выявления и устранения потенциальных рисков. OCR заявила в своем пресс-релизе, что количество утечек данных увеличилось на 239%, при этом количество атак с использованием программ-вымогателей увеличилось на 278% за последние четыре года. В 2023 году хакерские атаки составили 77% крупных нарушений, о которых сообщалось в OCR. Эти нарушения затронули около 88 миллионов человек, что на 60% больше, чем в прошлом году.
Все организации и деловые партнеры, на которых распространяется действие HIPAA, должны иметь соответствующие меры безопасности для предотвращения атак программ-вымогателей. Это включает в себя проведение комплексного анализа рисков для выявления потенциальных уязвимостей и реализацию необходимых мер по устранению этих уязвимостей. Затрагиваемые организации и деловые партнеры должны гарантировать, что их политики и процедуры HIPAA полностью соответствуют требованиям, чтобы в случае атаки программы-вымогателя OCR не смог идентифицировать несоответствующие политики и процедуры HIPAA как проблему в любом последующем расследовании.
«Зомби-любитель-евангелист. Неизлечимый создатель. Гордый новатор в твиттере. Любитель еды. Интернетоголик. Жесткий интроверт».
More Stories
Apple и Île-de-France Mobilités предлагают приложение Navigo для iPhone и Apple Watch
Nintendo приобретает Shiver Entertainment, специалиста по портированию Switch для Embracer
Генеральный директор Microsoft говорит, что ключ к успеху — продолжать учиться и меняться