Sağlık , HIPAA/HITECH , Sektöre Özel
Uygulama Yönetim Yazılımı Firmasının 2018 Olayı Yaklaşık 231.000 Kişiyi Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
16 Mayıs 2023
Federal düzenleyiciler, uygulama yönetimi yazılımı ve hizmetleri satıcısı MedEvolve’a, bir dosya aktarım protokolü sunucusu aksiliğini içeren 2018 HIPAA ihlaliyle ilgili bir soruşturmanın ardından 350.000 $ para cezası verdi. Şirket, olayın “tek bir insan hatasından” kaynaklandığını söyledi.
Ayrıca bakınız: FedRAMP ve StateRAMP’ı Anlamlandırmak
Salı günü Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi, MedEvolve’un mali uzlaşmayı ödemeyi ve potansiyel HIPAA ihlallerini çözmek için düzeltici bir eylem planı uygulamayı kabul ettiğini söyledi. Ajans, güvenli olmayan bir şirket FTP sunucusunun yaklaşık 231.000 kişinin elektronik korumalı sağlık bilgilerini ifşa ettiğini söyledi.
Olay iki MedEvolve müşterisini etkiledi – Premier Acil Tıbbi Bakım ve Dr. Beverly Held’in ofisi. Olayla ilgili soruşturması sırasında ajans, FTP sunucusunun halka açık olduğu dört ay boyunca her iki kapsanan kuruluş için PHI’nin en az bir yetkisiz kişi tarafından görüntülendiğine dair kanıt bulduğunu söyledi (bkz:: 2018 için Sağlık Veri İhlali Mağdur Sayımı Yükseliyor).
HHS OCR, MedEvolve olayında açığa çıkan hasta bilgilerinin isimleri, fatura adreslerini, telefon numaralarını, birinci basamak sağlık sigortası ve doktor muayenehanesi hesap numaralarını ve bazı Sosyal Güvenlik numaralarını içerdiğini söyledi.
Ajansın MedEvolve ihlaline ilişkin soruşturması, Little Rock, Arkansas şirketinin HIPAA güvenlik risk analizi eksikliği ve bir alt yüklenici ile iş ortaklığı anlaşması akdedilmemesi dahil olmak üzere potansiyel HIPAA ihlallerini de ortaya çıkardı.
HHS OCR direktörü Melanie Fontes Rainer yaptığı açıklamada, “HIPAA tarafından düzenlenen kuruluşlar, hasta sağlığı bilgilerini internet aracılığıyla halka açık ağ sunucularında güvenli bir şekilde bırakmadıklarından emin olmalıdır” dedi.
HHS OCR, ağ sunucularının, 500 veya daha fazla kişiyi etkileyen HIPAA ihlallerinin meydana geldiği yere göre en büyük kategori olduğunu söyledi.
MedEvolve Salı günü yaptığı açıklamada, olayın “tek bir insan hatasının” sonucu olduğunu söyledi.
Açıklamada, olayın MedEvolve’un teknoloji çözümlerini içermediği veya etkilemediği belirtildi. “Olay, müşteri barındırma ortamımızdan ayrı bir FTP sunucusuna yanlışlıkla yerleştirilen bir veri dosyasının sonucuydu. Dosyanın bulunmasının ardından sunucunun güvenliği hemen sağlandı ve hasta bilgilerinin hiçbir kötü amaçla kullanıldığı tespit edilmedi. “
FTP Aksiliklerinden Kaçınma
Gizlilik ve güvenlik danışmanlığı tw-Security’de kıdemli güvenlik danışmanı olan Wendell Bobst, Information Security Media Group’a FTP sunucularıyla ilgili gördüğü güvenlik olaylarının çoğunun FTP hizmeti operatörlerinin zayıf uygulamalarını içerdiğini söyledi.
Bunlar, bir müşterinin diğer müşterilerin dosyalarına erişebildiği jenerik klasörlerin kullanımını içerir; periyodik olarak değiştirilmeyen şifreler; tüm yönetici işlevleri için çok faktörlü kimlik doğrulamanın olmaması; ve FTP şifresini bilen personelindeki herhangi bir değişikliği FTP servisine bildirmeyen müşteriler.
“FTP ve hatta Güvenli FTP kullanmayı bırakın. Bunun yerine SharePoint/OneDrive veya Google Drive veya Dropbox kullanmayı düşünün” tavsiyesinde bulundu.
Bobst, FTP hizmetlerinin kullanımını durdurmanın dışında, kuruluşların müşterilerin ayrı FTP klasörlerine veya alanlarına sahip olmasını sağlamak için adımlar atmasını, tüm yönetici ve ayrıcalık kullanıcılarının tüm yönetim işlevleri için çok faktörlü kimlik doğrulama kullanmasını zorunlu tutmasını, tüm yönetici ve hizmet hesabı parolalarını düzenli olarak değiştirmesini önerir. çok faktörlü kimlik doğrulama ile korunur ve periyodik müşteri/kullanıcı erişim incelemeleri gerçekleştirir.
“Ne yazık ki, PHI’yi koruyan kuruluşların izlemeleri gereken birçok kapısı var. Çeşitli odalara erişmesi gereken tüm meşru kişileri doğrulamaları gerekiyor” dedi. “Düzenli risk analizi ve yönetici desteği, bir güvenlik görevlisinin her kuruluş için kritik uygulamaları sürekli olarak yönetmesi ve iyileştirmesi için temel oluşturur.”
HHS OCR ile anlaşmasının bir parçası olarak MedEvolve ayrıca bir risk analizi yürütmeyi, bir risk yönetimi programı geliştirmeyi ve uygulamayı ve iş gücüne artırılmış HIPAA eğitimi vermeyi içeren bir düzeltici eylem planı uygulamayı kabul etti.