Урегулирования знаменуют собой шестое и седьмое по счету действия регулирующих органов по обеспечению соблюдения правил в отношении программ-вымогателей в сфере здравоохранения.
Управление по гражданским правам HHS урегулировало два расследования нарушений HIPAA после атак с использованием программ-вымогателей, сообщило агентство на прошлой неделе. iStock/Getty Images Plus через Getty Images
Краткий обзор погружения:
- Управление по гражданским правам Министерства здравоохранения и социальных служб США завершило два расследования нарушений HIPAA после атак программ-вымогателей на поставщиков услуг.
- Согласно пресс-релизу на прошлой неделе, Ассоциация пластической хирургии Южной Дакоты выплатит OCR 500 000 долларов после того, как агентство обнаружило «множественные потенциальные нарушения» правил конфиденциальности и безопасности в сфере здравоохранения после инцидента с программой-вымогателем в 2017 году, в результате которого пострадало более 10 000 человек.
- OCR также обнаружило, что Управление скорой помощи округа Брайан в Оклахоме не провело анализ рисков во время расследования атаки, о которой сообщалось в 2022 году, в результате которой были скомпрометированы данные более 14 000 пациентов. Поставщик экстренных услуг заплатит штраф в размере 90 000 долларов.
Dive Insight:
Последние урегулирования знаменуют собой шестое и седьмое действия по принудительному исполнению в отношении программ-вымогателей для OCR. Агентство урегулировало свое первое расследование в отношении программ-вымогателей около года назад.
Федеральные регулирующие органы усилили свое внимание к кибербезопасности в здравоохранении и проявили интерес к введению дополнительных киберстандартов в связи с растущими угрозами.
«Думая о том количестве американцев, которые пострадают, о количестве кибератак, которые влияют на нашу систему здравоохранения, это является главным приоритетом для моего офиса», — заявила директор OCR Мелани Фонтес Райнер во время интервью в HLTH в прошлом месяце.
Расследование в отношении Plastic Surgery Associates of South Dakota показало, что поставщик не провел анализ для выявления рисков для защищенной медицинской информации. Он также не принял меры безопасности для снижения этих уязвимостей, не внедрил процедуры для регулярной проверки активности ИТ-систем и не внедрил политики для устранения инцидентов безопасности, согласно OCR.
Компания согласилась внедрить план корректирующих действий, и агентство будет контролировать поставщика в течение двух лет. Plastic Surgery Associates of South Dakota не ответила на запрос о комментарии к моменту публикации.
По данным OCR, BCAA также должна будет внедрить план корректирующих действий.
Соглашение BCAA является первым, связанным с инициативой OCR, которая фокусирует расследования на соблюдении положения HIPAA об анализе рисков. Согласно закону, организации, на которые распространяется действие закона, обязаны проводить тщательную оценку потенциальных рисков и уязвимостей для конфиденциальности и безопасности защищенной медицинской информации организации.
В заявлении для Healthcare Dive поставщик экстренных услуг сообщил, что он прилагает усилия для укрепления мер безопасности и вводит дополнительные меры для предотвращения повторения подобного события.
Рекомендуемое чтение
- Здравоохранение является «легкой жертвой» атак программ-вымогателей. Как больницы могут смягчить ущерб. Эмили Олсен • 18 июля 2024 г.
- Новое законодательство направлено на усмирение «Дикого Запада» в кибербезопасности здравоохранения Эмили Олсен • 17 октября 2024 г.