Doktora 500 Bin Dolarlık HIPAA Cezası: Federaller Hacker’dan Daha Kötü

Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , HIPAA/HITECH

Plastik Cerrah 53 Bin Dolar Fidye Ödedi Ama ‘Asıl Suçlunun’ HHS Olduğunu Söyledi

Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
1 Kasım 2024

Güney Dakota’daki bir plastik cerrahi kliniğinin sahibi Dr. James Breit, bir bilgisayar korsanının dokuz iş istasyonunu ve iki sunucuyu fidye yazılımıyla kilitlediği günü hatırladı. Verilere erişmek için fidye olarak 53.000 dolar ödedi ve hiçbir verinin çalınmadığını iddia etti. Breit, neredeyse yedi yıl sonra, 500.000 dolarlık bir HIPAA para cezası ödedikten sonra, siber suçlulardan federal düzenleyicilerden daha iyi muamele gördüğünü iddia ediyor.

Ayrıca bakınız: İşletmenizin Başarısını Artırmak için Varsayılan Olarak Güvenli Strateji

Breit, Information Security Medical Group’a şunları söyledi: “Sigorta şirketimiz çok şükür uzlaşma tutarını ödedi. Sonunda siber terörist, fidye ödendiğinde en azından anlaşmanın kendi payına düşen kısmını yerine getirdi.” “Bu durumda asıl suçlu, bizi bu şeylerden korumak için vergi ödediğimiz kendi hükümetimizdir, ancak onlar saldırganların peşine düşmek yerine kurbanların peşine düşüp onlara suçluların aldığından 10 kat daha fazla para cezası kesiyorlar. sonuçta hiçbir hasta bilgisinin tehlikeye atılmadığı bir olay.”

Central Sioux Falls’ta iki cerrahı ve yedi klinisyeni bulunan Plastik Cerrahi Associates of South Dakota adlı estetik cerrahi ofisi, yakın zamanda Sağlık ve İnsani Hizmetler Bakanlığı’na toplam 590.000 dolar para cezası ödemeyi kabul eden iki sağlayıcıdan biriydi. Sivil Haklar Ofisi, ajansın fidye yazılımı ihlallerini içeren bugüne kadarki 6. ve 7. HIPAA yaptırım eyleminde.

Yürütme kurumu, geçen yıl Massachusetts merkezli bir tıbbi yönetim hizmetleri firmasıyla bu tür ilk davayı çözdüğünde, fidye yazılımı olaylarını HIPAA’nın en önemli önceliği olarak gösterdi (bkz: Federaller, Fidye Yazılımı Veri İhlali Nedeniyle İlk HIPAA Cezasını Aldı).

2018’den bu yana, HHS OCR’ye bildirilen fidye yazılımı saldırılarını içeren büyük ihlallerin sayısı 2018’den bu yana %264 arttı.

HHS OCR direktörü Melanie Fontes Rainer, “Fidye yazılımı saldırıları genellikle bir sağlayıcının risk analizi yapma veya sağlık bilgilerine yönelik belirlenen riskleri ve güvenlik açıklarını yönetme gibi HIPAA Güvenlik Kuralı gereksinimlerine uyma konusundaki temel başarısızlıklarını ortaya çıkarır” dedi.

“Bu tür başarısızlıklar doktorlarımızı ve hastanelerimizi siber saldırılar için çekici hedefler haline getirebilir ve sağlık sistemimizde aksaklıklara yol açabilir.”

HHS OCR’nin Perşembe günü açıkladığı çözüm anlaşması uyarınca, estetik cerrahi muayenehanesinin, 27 Temmuz 2017’de federal kuruma sunulan ve ülkeyi etkileyen bir fidye yazılımı olayını içeren bir ihlal raporunun ardından 500.000 ABD Doları tutarında para cezası ödemesi ve veri güvenliği uygulamalarını iyileştirmek için adımlar atması gerekiyor. 10.229 kişi.

Breit, fidye yazılımı olayının, uygulamanın ihlal raporunu sunmasının ardından gerçekleştiğini iddia ettiği olay da dahil olmak üzere “birden fazla düzeyde çok sinir bozucu” olduğunu söyledi.

“Hiçbir hastamızın bilgisi sızdırılmadı, biz kullanamayalım diye bizden şifrelediler” dedi. “Bilgiyi güvenli bir şekilde geri almak için yaklaşık 53.000 dolar fidye ödedik. Biz de bu olayı OCR’a bildirdik, onların yardım sağlayacağını ya da belki saldırganların peşine düşeceklerini düşünüyorduk. Bunun yerine, bizim yaptığımız her şeyi belgelediler. durumu hafifletti, ancak yardım sağlamadı.”

Uygulamayla yapılan HHS OCR çözüm anlaşmasına göre, olayla ilgili yapılan bir araştırmada, tehdit aktörlerinin PSASD’nin ağına erişmek için kullanılan kimlik bilgilerini, PSASD’nin uzak masaüstü protokolüne yapılan kaba kuvvet saldırısı yoluyla elde ettiği ortaya çıktı.

Çözüm anlaşmasında, “İhlalin keşfedilmesinden sonra PSASD, etkilenen sunucuları yedeklemeden geri yükleyemedi ve PSASD, hastalarının korunan sağlık bilgilerinin şifre çözme anahtarları karşılığında bilgisayar korsanlarına toplam 27.399,97 dolar tutarında iki bitcoin fidye ödemesi yaptı.” ifadesine yer verildi. .

HHS Sivil Haklar Ofisi, PSASD ihlal raporuna ilişkin soruşturmanın HIPAA kurallarına “önemli uyumsuzluk” ortaya çıkardığını söyledi.

Buna, PSASD’nin tüm elektronik korumalı sağlık bilgilerinin gizliliği, bütünlüğü ve kullanılabilirliğine yönelik potansiyel riskler ve güvenlik açıkları konusunda doğru ve kapsamlı bir risk analizi yapma konusundaki başarısızlığı da dahildi.

HHS OCR ayrıca PSASD’nin riskleri ve güvenlik açıklarını azaltmaya yetecek güvenlik önlemlerini uygulamada başarısız olduğunu tespit etti; ePHI içeren bilgi sistemleri üzerindeki faaliyetleri düzenli olarak gözden geçirmek için politika ve prosedürler oluşturmak ve uygulamak; ve güvenlik olaylarını ele alacak politika ve prosedürleri uygulamak.

PSASD’nin düzeltici eylem planı, uygulamanın bu HIPAA eksikliklerini düzeltmek için uzun bir önlem listesi uygulamasını gerektiriyor.

Breit, HHS OCR’nin “yeni uyguladığımız siber güvenlik planımızda hâlâ zayıf olan alanlarımız olduğunu bize bildirmek için altı yıl beklediğini” iddia ediyor. Bu arada, altı yıl boyunca hesaplanan günlük para cezalarının sonunda “1 milyon doların üzerinde para cezasına” ulaştığını söyledi.

“Kullandığımız avukat sigorta şirketi tarafından seçildi ve bana göre vasatın altında bir iş yaptı, bu konuyu müzakere etti ve anlaşmayı imzalayana kadar bize nihai ödeme hakkında hiçbir zaman bilgi vermedi” dedi.

Breit, 500.000 dolarlık uzlaşma tutarının aynı zamanda OCR’nin, kurumun siber güvenlik politikasında yetersiz olduğu düşünülen tüm alanlarda teknik yardım sağlayacağına dair bir garantiyi de içerdiğini söyledi. “Bunları zaten düzelttik ve bildiğim kadarıyla devam eden bir sorunumuz yok” dedi.

HHS OCR, ISMG’nin Breit’in iddialarına ilişkin yorum talebine hemen yanıt vermedi.

İlçe Ambulans Sağlayıcısı Olayı

Yine Perşembe günü duyurulan ikinci HIPAA anlaşması uyarınca, Bryan County, Oklahoma’da acil tıbbi hizmetler sağlayan bir hükümet kuruluşu olan Bryan County Ambulans Otoritesi, HHS OCR’a 90.000 dolar para cezası ödemeyi ve BCAA’nın Kasım 2021’de gerçekleştirdiği fidye yazılımı saldırısının ardından güvenlik uygulamalarını güçlendirmeyi kabul etti. Ajansa 14.273 kişiyi etkilediği bildirildi.

HHS OCR, 18 Mayıs 2022’de BCAA’dan, BCAA ağındaki dosyaları şifreleyen 24 Kasım 2021 fidye yazılımı enfeksiyonu hakkında bir ihlal raporu aldığını söyledi.

BCAA, etkilenen dosyaların yaklaşık 14.273 hastanın ePHI’sını içerdiğini belirledi.

HHS’nin ihlalle ilgili araştırması, BCAA’nın hiçbir zaman HIPAA güvenlik riski analizi yapmadığını ortaya çıkardı.

BCAA’nın düzeltici eylem planı uyarınca, EMS sağlayıcısının, yıllık olarak güncellenmesi gereken kapsamlı ve zamanında bir HIPAA güvenlik riski analizinin yürütülmesi de dahil olmak üzere, güvenlik riski yönetimi programında uzun bir iyileştirme listesi uygulaması gerekir.

Bryan County EMS müdür yardımcısı Nate Toews, ISMG’ye yaptığı açıklamada, Kasım 2021’de “Ülkemizdeki diğer birçok belediye ve sağlıkla ilgili kuruluş gibi BCAA da bir siber güvenlik saldırısının kurbanı oldu” dedi.

O zamandan bu yana “BCAA, benzer bir olayın gelecekte tekrar yaşanmasını önlemek için koruma önlemlerini güçlendirmek ve ek önlemler almak için çalışıyor” dedi.

Bu arada Fontes Rainer, HIPAA Güvenlik Kuralı risk analizinin yürütülmemesinin “sağlık kuruluşlarını fidye yazılımı gibi siber saldırılara karşı savunmasız bıraktığını” söyledi.

“ePHI’nizin nerede tutulduğunu ve bu bilgiyi korumak için uygulanan güvenlik önlemlerini bilmek, HIPAA’ya uyum açısından çok önemlidir” dedi.

Fontes Rainer, HHS OCR’nin fidye yazılımı ihlali yaptırım eylemi girişimi kapsamına girmenin yanı sıra, BCAA ile yapılan anlaşmanın aynı zamanda ajansın yakın zamanda başlatılan Risk Analizi Girişimi kapsamında gerçekleştirilen ilk resmi eylem olduğunu söyledi.

“OCR, tamamlanan soruşturmaların sayısını artırmak ve bu HIPAA güvenlik kuralı gerekliliğine daha fazla dikkat ve daha iyi uyum ihtiyacını vurgulamak için Risk Analizi Girişimi’ni oluşturdu” dedi.

Geçen hafta HHS ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün ev sahipliği yaptığı HIPAA Zirvesi sırasında HHS OCR yetkilileri, güvenlik riski analizinin, incelenmekte olan 20 yıllık HIPAA Güvenlik Kuralı için önerilen güncellemenin de odak noktası olabileceğini ima etti. Beyaz Saray’ın Yönetim ve Bütçe Dairesi tarafından (bkz: Beyaz Saray HIPAA Güvenlik Kuralındaki Güncellemeleri İnceliyor).

“Sağlık sisteminde neye ihtiyaç duyulduğuna dair daha iyi bir anlayışa sahibiz ve dolayısıyla risk analizinin de gündeme gelmeye devam eden bir konu olduğu açık. Dolayısıyla bunun bir şekilde kapsanacak bir alan olmasını bekliyorum çünkü bu, üzerinde çalışmaya devam ettiğimiz bir alan. Fontes Rainer zirvede gazetecilere verdiği demeçte, bunun nasıl uygulandığına ilişkin sorunları görün” dedi (bkz: HIPAA Düzenlemelerini Neler Bekliyor?).

HHS OCR, HIPAA Güvenlik Kuralı güncellemesi için önerilen kural koyma bildirimini Aralık ayında yayınlamayı ve kamuoyunun yorumu için 60 gün sağlamayı bekliyor.