Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, HIPAA/HITECH
Uzlaşma, HHS OCR’nin Son Uygulama Önceliğinin Başka Bir İşaretidir
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
2 Temmuz 2024
Federal düzenleyiciler, Pensilvanya merkezli bir sağlık sistemine 950.000 dolarlık mali para cezası ve gruba karşı 2017 yılında gerçekleştirilen bir fidye yazılımı saldırısının soruşturulması sırasında bulunan olası HIPAA ihlallerini çözmek için bir düzeltici eylem planı uyguladı.
Ayrıca bakınız: VMware Carbon Black Uygulama Denetimi
Heritage Valley Health System ile yapılan anlaşma, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın fidye yazılımıyla ilgili bir davada üçüncü HIPAA yaptırım eylemidir. Kurum, HHS OCR’ye bildirilen fidye yazılımıyla bağlantılı ihlallerin sayısının 2018’den bu yana neredeyse üç katına çıktığını söyledi.
“Sağlık sektöründeki en yaygın siber saldırı türü bilgisayar korsanlığı ve fidye yazılımlarıdır. HIPAA Güvenlik Kuralı gerekliliklerinin uygulanmaması sağlık kuruluşlarını savunmasız bırakır ve onları siber suçlular için çekici hedefler haline getirir,” dedi HHS OCR direktörü Melanie Fontes Rainer bir açıklamada.
“Hastaların korunan sağlık bilgilerinin güvenliğini sağlamak, gizliliği korur ve en büyük önceliğimiz olan bakımın sürekliliğini sağlar. Sağlık kuruluşlarına kayıt sistemlerini ve hastalarını siber saldırılardan korumalarını hatırlatıyor ve teşvik ediyoruz.”
HHS OCR, Heritage Valley olayına ilişkin soruşturmasının HIPAA Güvenlik Kuralı’nın birden fazla olası ihlalini ortaya çıkardığını söyledi. Bunlar arasında Heritage Valley’nin şunları yapmaması yer alıyor: HIPAA güvenlik risk analizi yapmamak, fidye yazılımı saldırıları gibi acil durumlara yanıt vermek için bir acil durum planı uygulamamak ve yalnızca yetkili kullanıcıların elektronik olarak korunan sağlık bilgilerine erişmesine izin veren politikalar ve prosedürler uygulamamak.
Heritage Valley’e karşı açılan davadaki çözüm anlaşmasında, HHS OCR’nin medyada kurumun bir veri güvenliği olayı yaşadığına dair haberlerin ardından kurumda bir uyumluluk incelemesi başlattığı belirtiliyor.
Çözüm anlaşması, Heritage Valley’nin olayla ilgili HHS OCR’ye bir HIPAA ihlali bildirip bildirmediğini belirtmiyor. Heritage Valley’den HHS OCR’nin HIPAA İhlal Bildirim Aracı web sitesinde, 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerini listeleyen böyle bir rapor yayınlanmış görünmüyor.
Ne Valley Heritage ne de HHS OCR, Information Security Media Group’un kurumun fidye yazılımı olayıyla ilgili yorum ve ek ayrıntı talebine derhal yanıt vermedi.
Mali para cezasının yanı sıra, HHS OCR’nin çözüm anlaşması, Valley Heritage’ın şunları içeren düzeltici bir eylem planı üstlenmesini gerektiriyor: doğru ve kapsamlı bir HIPAA güvenlik risk analizi yapmak; bir risk yönetim planı uygulamak; HIPAA Kurallarına uymak için yazılı politikalarını ve prosedürlerini gözden geçirmek, geliştirmek, sürdürmek ve revize etmek; ve iş gücünü HIPAA politikaları ve prosedürleri konusunda eğitmek.
Uygulama Eğilimleri
HHS OCR geçen Ekim ayında Massachusetts merkezli tıbbi yönetim firması Doctor Management Group’a yönelik bir fidye yazılımı saldırısıyla ilgili ilk HIPAA yaptırım eylemini gerçekleştirdi. Kuruluş, 2019’da yaklaşık 206.700 kişiyi etkilediği bildirilen bir fidye yazılımı ihlaliyle ilgili soruşturmanın ardından 100.000 dolarlık bir mali ceza ödemeyi ve üç yıl HIPAA uyumluluk izlemesinden geçmeyi kabul etti (bkz: Federal Hükümet, Fidye Yazılımı Veri İhlali İçin İlk HIPAA Cezasını Kesti).
HHS OCR, Şubat ayında ikinci fidye yazılımıyla ilgili yaptırım eyleminde Green Ridge Davranışsal Sağlığı’na 40.000 dolarlık bir mali anlaşma ve düzeltici bir eylem planı ile vurdu. Anlaşma, HHS OCR’nin Gaithersburg, Maryland merkezli ruh sağlığı sağlayıcısına yönelik 2019 fidye yazılımı ve veri sızdırma saldırısına ilişkin soruşturması sırasında bulduğu olası HIPAA ihlallerini çözdü. Olay, yaklaşık 14.000 kişinin korunan sağlık bilgilerini tehlikeye attı (bkz: HHS OCR, Kongre’ye HIPAA Çalışmaları İçin Daha Fazla Fon Sağlanması Gerektiğini Söyledi).
“Fidye yazılımı ihlalleri OCR için bir uygulama önceliği haline geldi,” dedi Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene. “OCR’nin düzenlenen kuruluşun bir fidye yazılımı saldırısına karşı savunma ve yanıt verme konusunda yeterince hazırlıklı olmadığını gördüğü durumlarda finansal uygulama eylemleri görmeye devam edeceğimizi bekliyorum.
Greene, “Kapsam dahilindeki kuruluşlar ve iş ortakları, HIPAA Güvenlik Kuralı risk analizlerinin fidye yazılımı saldırılarıyla ilgili riskleri açıkça yakaladığını, olası fidye yazılımı enfeksiyonlarına karşı korunan veri yedeklerini tuttuklarını ve olası bir fidye yazılımı saldırısına yanıt olarak felaket kurtarma çabalarını test ettiklerini doğrulamalıdır” dedi.
Fontes Rainer, Information Security Media Group ile yaptığı son video röportajında, kurumun HIPAA yaptırım önceliklerinden biri olarak fidye yazılımı saldırıları ve diğer bilgisayar korsanlığı ihlallerine yönelik incelemesinin yoğunlaştığını belirtti (bkz: HHS OCR HIPAA Uygulamasını Nasıl Artırıyor; İşte Denetimler Geliyor).
“İhlallerin sayısı artıyor. Daha da büyüyorlar, daha fazla insanı enfekte ediyorlar. Ve kimlik avı, fidye yazılımı korsanlığı gibi şeylerin insanların sistemlerine sızmanın gerçekten önemli yolları olduğunu biliyoruz,” dedi. “Bu yüzden, gerçekten buna odaklandık.”
Salı günü itibarıyla, 2024’te HHS OCR HIPAA ihlali web sitesinde yayınlanan 44,6 milyon kişiyi etkileyen 369 büyük sağlık verisi ihlalinin 288’i -veya yaklaşık %80’i- bilgisayar korsanlığı olayı olarak bildirildi. Bu saldırılar 29,6 milyon kişiyi etkiledi.
Ancak HHS OCR’nin son birkaç yıldır HIPAA yaptırım eylemlerinin çoğunluğu hastaların “erişim hakkı” anlaşmazlıklarına odaklanmıştır.
HHS OCR, kurumun Nisan 2019’da hasta “erişim hakkı” uyumluluk girişimini başlatmasından bu yana bu tür vakalarda şu ana kadar 48 yaptırım eylemi gerçekleştirdi (bkz: Federal Hükümet 2 Huzurevi Şirketine ‘Erişim Hakkı’ Cezası Verdi).