Dalış Özeti:
- Ajansın Çarşamba günü yaptığı açıklamaya göre, HHS, 14.000’den fazla kişinin korunan sağlık bilgilerini açığa çıkaran bir fidye yazılımı saldırısıyla ilgili ikinci anlaşmaya vardı.
- Maryland merkezli Green Ridge Behavioral Health, HHS’nin Sivil Haklar Ofisi’ne göre, 2019’un başlarında bildirilen bir saldırının ardından yapılan bir soruşturmada HIPAA kuralının potansiyel ihlallerini ve gevşek korumaları tespit ettikten sonra 40.000 dolar ödemeyi ve düzeltici bir eylem planı uygulamayı kabul etti.
- Anlaşma, fidye yazılımının sağlık kuruluşları için büyüyen ve kritik bir tehdit haline geldiği ve düzenleyicilerin siber güvenlik standartlarını uygulamaya ilgi duyduklarının sinyalini verdiği bir dönemde geldi.
Dalış Bilgisi:
HHS’ye göre, sağlık sektöründeki veri ihlalleri son yıllarda hızla arttı; fidye yazılımları ve bilgisayar korsanlığı sektöre yönelik “birincil” siber tehditleri oluşturuyor.
Ajans, OCR’ye bildirilen, fidye ödenene kadar kullanıcıların verilerine erişimini engelleyen bir tür kötü amaçlı yazılım olan fidye yazılımını içeren büyük ihlallerde %264’lük bir artış gözlemledi.
Saldırılar, sağlayıcıların işlemlerini engelleyebilir, elektronik sağlık kayıtlarına veya diğer bağlı cihazlara erişimi engelleyebilir ve onları hasta bakımını geciktirmeye veya hastaları başka tesislere göndermeye zorlayabilir.
Ponemon Enstitüsü’nün 2021’de yaptığı bir ankete göre, yaklaşık dört sağlayıcıdan biri fidye yazılımı saldırısının ardından ölüm oranlarının arttığını bildirdi.
OCR Direktörü Melanie Fontes Rainer yaptığı açıklamada, “Sağlık hizmeti sağlayıcılarının bu saldırıların ciddiyetini anlamaları ve hastaların korunan sağlık bilgilerinin fidye yazılımı gibi siber saldırılara maruz kalmamasını sağlayacak uygulamalara sahip olmaları gerekiyor” dedi.
HHS kısa süre önce sağlık ve halk sağlığı kuruluşlarının siber korumalarını artırmaya yönelik gönüllü hedeflerini yayınladı ve kurumun sonunda uygulanabilir standartlar önermeyi planladığını belirtti. Geçen yılın sonlarında Medicaid ve Medicare aracılığıyla hastane gereksinimlerini ve HIPAA kuralına yönelik bir güncellemeyi içeren bir stratejinin ana hatlarını çizdi.
Düzenleyici ayrıca sağlık kuruluşlarıyla siber güvenlikle ilgili çeşitli anlaşmalar yaptığını da duyurdu. HHS, ilk fidye yazılımı anlaşmasına Kasım ayında Massachusetts merkezli tıbbi yönetim şirketi Doctors’ Management Services ile ulaştı.
Green Ridge ile yapılan son anlaşmada kurum, soruşturmasında zihinsel sağlık hizmeti sağlayıcısının korunan sağlık bilgilerine yönelik riskleri belirlemede, güvenlik açıklarını azaltmak için güvenlik önlemleri uygulamada ve saldırılara karşı koruma sağlamak için BT sistemlerini yeterince izlemede başarısız olduğunu tespit ettiğini söyledi.
Ajansa göre sağlayıcı, ceza ve düzeltici eylem planına ek olarak üç yıl boyunca OCR tarafından izlenecek. Yorum yapmak için Green Ridge’e ulaşılamadı.