Dalış Özeti:
- HHS Sivil Haklar Ofisi Salı günü yaptığı açıklamada, New York City merkezli Montefiore Tıp Merkezi’nin, veri güvenliğindeki aksaklıkların bir çalışanın altı ay boyunca binlerce hastanın korunan sağlık bilgilerini çalmasına ve satmasına izin verdiği yönündeki iddiaları çözüme kavuşturmak için 4,75 milyon dolar ödeyeceğini duyurdu.
- HHS, bir basın açıklamasında Montefiore’un 2015 yılında kolluk kuvvetleri tarafından uyarılmasının ardından bir soruşturma yürüttüğünü ve bir çalışanın iki yıl önce 12.500’den fazla hastadan veri aldığını ve bunları bir kimlik hırsızlığı çetesine sattığını bildirdi.
- OCR, Montefiore’un HIPAA Güvenlik Kuralını “birden fazla potansiyel ihlali” olduğunu ve kar amacı gütmeyen kuruluşun temel güvenlik önlemleri eksik olduğu için saldırıyı anında tespit edemediğini veya önleyemediğini söyledi.
Dalış Bilgisi:
Yerleşim düzenleyiciler olarak geliyor sağlık sektöründe siber güvenlik konusunda alarm veriyor. Ajansa göre, geçen yıl OCR’ye bildirilen büyük ihlallerden 134 milyondan fazla insan etkilendi; bu rakam 2022’de sadece 55 milyondu.
HHS geçen yılın sonlarında sektördeki siber güvenliği destekleme stratejisinin ana hatlarını çizen bir konsept belgesi yayınladı. Belgede Medicare ve Medicaid aracılığıyla hastanelerde siber standartların uygulanmasına yönelik öneriler yer alıyordu.
Ancak kurum aynı zamanda sağlık kuruluşlarının saldırıları önlemesine, müdahalelerini iyileştirmesine ve kalan riski en aza indirmesine yardımcı olabileceğini söylediği gönüllü hedefleri de destekledi. Ayrıca fidye yazılımı ve kimlik avı saldırılarıyla ilgili iddialar da dahil olmak üzere diğer sağlayıcılarla olan davalar da çözüme kavuşturuldu.
OCR’nin son soruşturmasında kurum, Montefiore’un potansiyel riskleri ve güvenlik açıklarını belirlemede, BT sistemlerini izlemede ve korumada ve korunan sağlık bilgileri içeren sistemleri denetlemeye yönelik politikalar uygulamada başarısız olduğunu belirledi.
Ajans, parasal anlaşmaya ek olarak Montefiore’un bir düzeltici eylem planı uygulamaya koyması ve OCR tarafından iki yıl boyunca izlenmesi gerekeceğini söyledi.
“Maalesef, kötü niyetli kişilerden gelen siber saldırıların nadir olmadığı bir zamanda yaşıyoruz. OCR Direktörü Melanie Fontes Rainer, yaptığı açıklamada, artık her zamankinden daha fazla, hasta tarafından korunan sağlık bilgilerine yönelik risklerin göz ardı edilemeyeceğini ve hızlı ve özenle ele alınması gerektiğini söyledi.
Healthcare Dive’a konuşan bir sözcü, Montefiore’un personelin eğitimini artırmak ve hasta bilgilerini içeren sistemler için izleme yeteneklerini genişletmek de dahil olmak üzere güvenliğini artırmak için adımlar attığını söyledi. Hasta verilerini çalan çalışanın da işine son verildi ve dava açıldı.