Sağlık , HIPAA/HITECH , Sektöre Özel
2016 Hacking Olayı Yaklaşık 3 Milyon Kişiyi Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
2 Şubat 2023
Federal düzenleyiciler, yaklaşık 3 milyon kişiyi etkileyen 2016’daki bir bilgisayar korsanlığı ihlalinin ardından çok eyaletli hastane sistemi Banner Health’e 1,25 milyon dolarlık HIPAA cezası verdi.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Phoenix, Arizona merkezli kar amacı gütmeyen kuruluşa karşı Perşembe günü duyurulan icra davası, Ocak 2021’den bu yana Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi tarafından bir HIPAA ihlali davasında ilk yedi haneli parasal uzlaşma oldu.
Son iki yılda, ofis, hastaların sağlık kayıtlarına erişim haklarının ihlal edildiği iddiasıyla ilgili davalarda kuruluşlara karşı uzlaşma elde etmeye daha fazla odaklandı (bkz:: Laboratuvar, Hasta Kayıtlarının Sağlanmasında Uzun Gecikme Nedeniyle 16.000 Dolar Para Cezasına Uğradı). Banner gibi tanınmış markalara karşı yapılan pahalı uzlaşmalar istisna olmuştur.
OCR Direktörü Melanie Fontes Rainer yaptığı açıklamada, “Hackerlar, ülkemizin hastaneleri de dahil olmak üzere sağlık kuruluşları tarafından tutulan hasta bilgilerinin gizliliğini ve güvenliğini tehdit etmeye devam ediyor” dedi.
Banner Health, parasal uzlaşmayı ödemenin yanı sıra, kapsamlı bir güvenlik riski değerlendirmesi yürütmeyi ve elektronik kişisel sağlık bilgilerine ilişkin güvenlik risklerini ele almak için bir risk yönetim planı geliştirip uygulamayı içeren bir düzeltici eylem planı uygulama taahhüdünde bulundu.
İhlal Ayrıntıları
HHS OCR, Kasım 2016’da Banner’ın bir tehdit aktörünün potansiyel olarak milyonlarca kişiyi etkileyen bir saldırıda sistemlerine yetkisiz erişim elde ettiğini bildirmesinin ardından bir soruşturma başlattı.
Olayda, hasta adları, doktor adları, doğum tarihleri, adresler, Sosyal Güvenlik numaraları, klinik ayrıntılar, hizmet tarihleri, talep bilgileri, laboratuvar sonuçları, ilaçlar, teşhisler ve durumlar ve sağlık sigortası dahil olmak üzere yaklaşık 2,81 milyon kişinin PHI’sı ele geçirildi. bilgi, diyor HHS OCR.
Banner Health, 2016 yılında yaptığı bir açıklamada, ihlalin, saldırganların kuruluşun bazı yiyecek ve içecek satış noktalarındaki ödeme kartı işleme sistemlerine yetkisiz erişim elde etmesiyle başladığını ve görünüşe göre saldırganların sağlıkla ilgili çeşitli bilgilere erişmesine kapı açtığını söyledi (bkz:: Banner Sağlık İhlali 3,7 Milyon Kişiyi Etkiliyor).
Kart işleme sistemlerinin hacklenmesi, veriler etkilenen sistemler aracılığıyla yönlendirilirken kart sahiplerinin adlarını, kart numaralarını, son kullanma tarihlerini ve doğrulama kodlarını açığa çıkardı.
Bu ödeme bilgilerine ek olarak Banner Health, 2016 tarihli açıklamasında siber saldırganların hasta bilgilerine yetkisiz erişim elde etmiş olabileceğini söyledi. Banner Health başlangıçta olayın 3,7 milyon kişiyi etkilediğini bildirdi.
Banner Health’in HHS OCR ile anlaşması, önerilen bir toplu dava davasındaki 2020 multimilyon dolarlık bir sivil anlaşmayı da takip ediyor (bkz:: Banner Sağlık İhlali Davası Sonuçlandı).
Altı eyalette 30 hastane işleten Banner Health, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.