Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
Vaka, iki güvenlik olayının HHS OCR incelemesini çözer
Marianne Kolbasuk McGee (Healthinfosec) •
17 Nisan 2025
Bir Guam devlet hastanesi, federal düzenleyicilere 25.000 dolar ödemeyi ve iki güvenlik olayıyla ilgili bir soruşturma sırasında belirlenen kapsamlı bir risk analizi yapılmaması da dahil olmak üzere potansiyel HIPAA ihlallerini çözmek için düzeltici bir eylem planı uygulamayı kabul etti.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi, Guam Memorial Hastane Otoritesi ile yapılan yerleşimin, HHS OCR’nin Ocak 2019’da Aralık 2018’de meydana gelen ve 5.000 kişinin korunan sağlık bilgilerini etkileyen bir fidye yazılımı olayı hakkında bir şikayetle ilgili soruşturmasını içerdiğini söyledi.
Bu soruşturma sırasında HHS OCR, 17 Mart 2023’te GMHA’ya karşı başka bir şikayet aldı.
HHS OCR, GMHA ile yapılan karar anlaşmasında, “HHS’nin bu şikayeti soruşturması, iki eski çalışanın istihdamları sona erdikten sonra Mart 2023’te GMHA’nın ağ sistemlerine eriştiğini ortaya koydu.” Dedi.
HHS OCR, iki olayla ilgili soruşturmasının, GMHA’nın GMHA tarafından tutulan elektronik korumalı sağlık bilgilerine potansiyel riskleri ve güvenlik açıklarını tanımlamak için doğru ve kapsamlı bir risk analizi yapamadığını buldu.
Perşembe günü yaptığı açıklamada, “Fidye yazılımı ve hackleme, sağlık sektöründeki elektronik korumalı sağlık bilgilerinin birincil siber tehditleridir.” Dedi.
“Bir HIPAA risk analizi yapılmaması, bu bilgileri riske atıyor ve gelecekteki fidye yazılımı saldırılarına ve diğer siber tellere karşı savunmasız hale getiriyor.” Dedi.
Düzeltici Eylem Planı uyarınca GMHA, HIPAA güvenlik kuralına uymayı ve Ephi’nin güvenliğini korumayı kabul etti. GMHA:
- Ephi için potansiyel riskleri ve güvenlik açıklarını belirlemek için doğru ve kapsamlı bir risk analizi yapmak;
- Risk analizinde belirlenen güvenlik risklerini ve güvenlik açıklarını ele almak ve azaltmak için bir risk yönetimi planı geliştirmek ve uygulamak;
- Denetim günlükleri, erişim raporları ve güvenlik olayı izleme raporları gibi bilgi sistemi etkinliklerinin kayıtlarını düzenli olarak gözden geçirmek için yazılı bir süreç geliştirin;
- Tüm işgücü için HIPAA ve Güvenlik Eğitim Programını geliştirmek;
- Ephi’ye erişim sağlanan tüm erişim kimlik bilgilerini inceleyerek işgücü güvenliği ve bilgi erişim yönetimini destekleyin.
GMHA, bilgi güvenliği medya grubunun HHS OCR ile yaptığı anlaşma hakkında yorum talebine hemen yanıt vermedi.
GMHA ile yerleşim, ajans 2024’te risk analizi girişimini başlattığından beri HHS OCR’nin 11. fidye yazılımı icra eylemi ve yedinci uygulama eylemidir (bkz: bkz: Radyoloji Uygulaması HIPAA yerleşiminde 350.000 dolar öder).
GMHA ile karar anlaşması aynı zamanda HHS OCR’nin 2025’te şimdiye kadar duyurduğu 10. HIPAA uygulama eylemidir. Ancak 6 Şubat’ta imzalanan GHMA yerleşimi, Trump yönetimi göreve başlamasından bu yana HHS OCR tarafından sonlandırılan ilk uygulama eylemi gibi görünmektedir.
HHS OCR tarafından bu yıl açıklanan diğer dokuz HIPAA icra eylemi, Biden yönetiminin son aylarında tamamlandı.