İhlal Bildirimi, Sağlık Hizmetleri, Sektöre Özel
AHA, Potansiyel İhlal Durumunda Bildirim İçin Askıdaki Sağlık Hizmetinin Değiştirilmesini İstiyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Mart 2024
Change Healthcare'e yapılan siber saldırı, ABD'deki binlerce sağlık kuruluşunu sekteye uğrattı Hastaneler, klinikler ve doktor muayenehaneleri potansiyel olarak milyonlarca hastayı Change Healthcare ihlali konusunda bilgilendirmek zorunda olduğundan, Amerikan Hastaneler Birliği, BT hizmetleri firması ve ana şirketi UnitedHealth Group'un bu konuda harekete geçmesi gerektiğini söyledi. bildirimlerin tek göndereni olun.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
AHA, UnitedHealth Group'un Change Healthcare birimine 21 Şubat'ta düzenlenen siber saldırıda bir ihlal meydana gelmesi durumunda, Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi'nden “birleşik bildirim süreci” talep ediyor.
AHA'nın 21 Mart'ta HHS OCR'ye yazdığı mektup, HHS OCR'nin 13 Mart'ta UnitedHealth Group'a (ve genel olarak HIPAA tarafından düzenlenen kuruluşlara) kurumun Değişiklikle ilgili bir soruşturma başlattığını bildirmek için kamuya açık bir “Sevgili Meslektaşlarım” mektubu yayınlamasından bir hafta sonra geldi. Sağlık siber güvenlik olayı.
HHS OCR, Change Healthcare ve UnitedHealth Group hakkındaki soruşturmasının PHI ihlalinin olup olmadığına ve şirketlerin HIPAA Kurallarına uygunluğuna odaklandığını söyledi. Ajans, UnitedHealth Group ile ortaklık kuran diğer kuruluşlara olan ilgisinin “ikincil” olduğunu söyledi.
Ancak HHS OCR, Change Healthcare saldırısıyla bağlantılı veya bu saldırıdan etkilenen sağlık hizmeti sağlayıcıları, sağlık planları ve iş ortaklarıyla ilgili soruşturmalara öncelik vermediğini söylerken, kurum, Change Healthcare ve UnitedHealth Group ile ortaklık kuran kuruluşlara “hatırlattığını” söyledi. onların “düzenleyici yükümlülükleri ve sorumlulukları.”
HHS OCR, bunların arasında iş ortaklığı anlaşmalarının yürürlükte olmasını ve HHS'ye ve etkilenen kişilere zamanında ihlal bildiriminin HIPAA Kurallarının gerektirdiği şekilde gerçekleşmesini sağlamanın da yer aldığını söyledi.
UnitedHealth Group, gizlilik ve güvenlik ekiplerinin olayda PHI'nın tehlikeye girip girmediğini anlamak için hâlâ “aktif olarak meşgul” olduğunu ileri sürüyor. Ancak Change Healthcare yılda 15 milyar işlem gerçekleştirdiğinden ve her 3 hastadan 1'ine dokunduğundan uzmanlar, PHI uzlaşmasının potansiyel olarak on milyonlarca kişiyi etkileyebileceğini öngörüyor.
Saldırının sorumluluğunu BlackCat olduğunu iddia eden tehdit aktörleri üstlendi ve UnitedHealth Group bu ayın başlarında, saldırının sorumlusunun yine Alphv olan Rusça konuşan fidye yazılımı grubunun olduğunu doğruladı. BlackCat, karanlık ağda, Change Healthcare'den şirketin “tüm” müşterilerine ait 6 terabaytlık “son derece seçici verileri” sızdırdığını iddia etti (bkz: BlackCat Fidye Yazılımı Grubunun 'Nöbet' Çıkış Dolandırıcılığı Olduğu Görünüyor).
İhlal Bildirim Görevleri
HIPAA İhlali Bildirim Kuralı uyarınca, hastaneler ve tıbbi muayenehaneler gibi kapsam dahilindeki kuruluşlar, bireylerin PHI ihlalleri konusunda bilgilendirilmesini sağlamaktan nihai olarak sorumludur. Bir iş ortağının dahil olduğu bir ihlal durumunda, kapsam dahilindeki kuruluşlar, bir iş ortağı anlaşmasının parçası olması halinde, bireysel bildirimlerin sorumluluğunu iş ortağına devredebilir.
Kapsam dahilindeki kuruluş aynı zamanda PHI ihlalini HHS OCR'ye bildirmekten de sorumludur.
Ancak AHA, mektubunda, Becker's Health IT'ye göre, HHS OCR'nin UnitedHealth Group ve Change Healthcare'in gerekli bireysel bildirimlerden yalnızca sorumlu olduğunu belirtmesini istiyor.
AHA, HHS OCR Direktörü Melanie Fontes Rainer'a şunları yazdı: “UnitedHealth Group ve Change Healthcare zaten bunu yapıyorsa, hastanelerin ve diğer sağlayıcıların ek bildirimde bulunmak zorunda olmadıklarına dair ek açıklama istiyoruz.”
AHA, “Kapsam dahilindeki bir kuruluş olarak Change Healthcare, OCR'yi ve etkilenen bireyleri bilgilendirme görevine sahiptir. Change Healthcare'in bir iş ortağı olarak hareket ettiği durumlarda bile HIPAA, Change Healthcare'e daha akıcı bir yaklaşım için bu bildirimleri yayınlama yetkisi verir.” dedi.
Düzenleme avukatı Rachel Rose, HHS OCR'nin Change Healthcare/UnitedHealth Group'u ihlali devlet kurumlarına bildirmekten ve etkilenen bireyleri bilgilendirmekten sorumlu tek taraf olarak belirleme olasılığının “hiç yok denecek kadar az” olduğunu söyledi.
“Bir iş ortaklığı anlaşmasındaki temerrüt, eğer bu tanımlanmamışsa, kapsam dahilindeki kuruluş olarak belirlenen tarafın raporlama yapması gerekir. Kapsam dahilindeki bir kuruluş, kapsam dahilindeki başka bir kuruluşun iş ortağı olabilir ve her bir tarafın tanımı BAA'da tanımlanacaktır, ” dedi. “Durumun böyle olduğunu varsayarsak, yasa kapsamındaki temerrüt, kapsam dahilindeki kuruluşun hastaları bilgilendirmesidir, zira nihai sorumluluk varsayılan olarak kapsam dahilindeki kuruluşa aittir.”
Ancak HHS OCR, UnitedHealth Group'u olası Sağlık Hizmeti ihlali bildirimini ele alacak tek kuruluş olarak belirlemeye karar verirse, bunun olaydan etkilenen sağlık hizmeti sağlayıcıları üzerindeki mali ve diğer baskıları azaltacağını söyledi.
Rose, “Bu, tüm sağlayıcıların davalarda isminin verilmesinin, küçük sağlık hizmeti sağlayıcılarının ve kırsal hastanelerin kapatılmasının ve daha akıcı bir yasal sürecin etkisini azaltacaktır” dedi. “UnitedHealth Group'un tek sorumluluğa sahip olmasının dezavantajlarından çok artıları olduğuna inanıyorum.”
Ne AHA ne de HHS OCR, Bilgi Güvenliği Medya Grubu'nun AHA'nın kuruma yazdığı mektupla ilgili yorum taleplerine hemen yanıt vermedi.
Restorasyon İlerliyor
Change Healthcare, saldırıdan etkilenen BT sistemlerini onarmak için çalışmalarını sürdürüyor. UnitedHealth Group Cuma günü yaptığı açıklamada, Change Healthcare'in tıbbi talep hazırlama yazılımı Assurance'ın 18 Mart'ta tekrar çevrimiçi hale geldiğini ve sağlık hizmeti sağlayıcılarının talep dosyalarının ilgili birikmiş kayıtlarını test etme, yeniden bağlama ve işleme üzerinde çalıştığını söyledi.
UnitedHealth Group, “22 Mart itibarıyla, 14 milyar dolardan fazla masraf içeren talepler Assurance yazılımı aracılığıyla işleme alınmak üzere hazırlandı.” dedi. Şirket ayrıca, geçici bir finansman yardım programı aracılığıyla sağlık hizmeti sağlayıcılarına şu ana kadar 2,5 milyar dolar kısa vadeli yardım aktardığını da belirtti.
Uygunluk işlemleri, faydaların doğrulanması ve yetkilendirmenin belirlenmesi de dahil olmak üzere diğer birçok Change Healthcare hizmetinin bu hafta tekrar çevrimiçi olmaya başlaması bekleniyor.
Ancak elektronik reçete yazma, sipariş verme ve sonuçların EHR'lere entegre edilmesini sağlayan Clinical Exchange dahil olmak üzere diğer hizmetlerin önümüzdeki haftaya kadar tekrar çevrimiçi olması beklenmiyor. Müşterileri değere dayalı ödeme sözleşmelerini yönetme konusunda destekleyen Risk Manager gibi hizmetlerin ise 8 Nisan haftasına veya daha sonrasına kadar restorasyonu planlanmıyor.