ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), Sivil Haklar Dairesi (OCR), Maryland merkezli bir psikiyatri muayenehanesi olan Green Ridge Behavioral Health, LLC ile anlaşmaya varıldığını duyurdu. 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) kapsamında yapılan bu anlaşma, 14.000’den fazla kişinin korunan sağlık bilgilerini tehlikeye atan bir fidye yazılımı saldırısına ilişkin soruşturmanın ardından geldi.
Fidye ödenene kadar verilere erişimi engellemek üzere tasarlanmış kötü amaçlı yazılım olan fidye yazılımı giderek yaygınlaşıyor ve hasta mahremiyeti ve sağlık hizmeti sağlayıcılarının operasyonları için önemli bir tehdit oluşturuyor.
HHS İkinci Yerleşim
Bu anlaşma, OCR’nin bir fidye yazılımı saldırısına yanıt olarak HIPAA tarafından düzenlenen bir kuruluşa karşı harekete geçtiği ikinci örneği temsil ediyor.
Daha önce, Kasım 2023’te HHS, Doktorların Yönetim Hizmetlerini içeren 2018 veri ihlaline ilişkin bir soruşturmayı sonuçlandırdı ve sorunu çözmek için 100.000 ABD Doları tutarında bir ceza talep ettikleri bir anlaşmayla sonuçlandı.
OCR Direktörü Melanie Fontes Rainer’a göre fidye yazılımı saldırıları hastaları son derece savunmasız bırakıyor, tıbbi kayıtlarına erişimden mahrum bırakıyor ve sağlıkları hakkında bilinçli karar vermelerini engelliyor.
Bu siber saldırıların ciddiyeti, sağlık hizmeti sağlayıcılarının, hastaların korunan sağlık bilgilerini korumak için gelişmiş siber güvenlik önlemleri uygulamasına yönelik acil ihtiyacın altını çiziyor.
“Bu saldırılar, tıbbi kayıtlarına ulaşamayan hastalar için sıkıntı yaratıyor, dolayısıyla sağlıkları ve refahları konusunda en doğru kararları alamayabilirler. OCR Direktörü Melanie Fontes Rainer resmi bir açıklamada, sağlık hizmeti sağlayıcılarının bu saldırıların ciddiyetini anlamaları ve hastaların korunan sağlık bilgilerinin fidye yazılımı gibi siber saldırılara maruz kalmamasını sağlayacak uygulamalara sahip olmaları gerektiğini belirtti.
Araştırma Bulguları: HIPAA İhlalleri
Green Ridge Behavioral Health, Şubat 2019’da OCR’de bir ihlal olduğunu bildirdi ve ağ sunucularına fidye yazılımı bulaştığını, bunun da şirket dosyalarının ve tüm hastaların elektronik sağlık kayıtlarının şifrelenmesine neden olduğunu açıkladı.
OCR’nin daha sonraki araştırması, HIPAA Gizlilik ve Güvenlik Kuralının olası ihlallerini ortaya çıkardı. Bu sonuçlar arasında Green Ridge Behavioral Health, elektronik olarak korunan sağlık bilgilerine yönelik potansiyel riskleri ve güvenlik açıklarını belirlemek için kapsamlı bir araştırma yapmamıştır.
Ayrıca, bu riskleri kabul edilebilir bir düzeye indirecek güvenlik önlemlerinin yetersiz olması ve sağlık bilgi sistemi faaliyetlerinin yeterince izlenmemesi, onları siber saldırılara karşı savunmasız hale getirdi.
Anlaşmanın bir parçası olarak Green Ridge Behavioral Health, 40.000 ABD Doları ödemeyi ve üç yıl boyunca OCR tarafından denetlenen bir düzeltici eylem planı üstlenmeyi kabul etti.
Düzeltici eylem planının temel bileşenleri arasında kapsamlı risk analizlerinin yapılması, bir risk yönetimi planının tasarlanması, HIPAA Kurallarına uyacak şekilde politika ve prosedürlerin revize edilmesi, iş gücü eğitimi sağlanması, üçüncü taraf düzenlemelerinin denetlenmesi ve uyumsuzlukların OCR’ye rapor edilmesi yer alır.
Green Ridge Behavioral Health ile yapılan anlaşma, sağlık sektöründe fidye yazılımı ve bilgisayar korsanlığının oluşturduğu artan siber tehdide ışık tutuyor. Son beş yılda, bilgisayar korsanlığı ve fidye yazılımlarını içeren büyük ihlallerde önemli bir artış oldu; 2023’te OCR’ye bildirilen büyük ihlallerin %79’u yalnızca bilgisayar korsanlığı tarafından oluşturuldu.
En İyi Uygulamalar: Siber Tehditleri Azaltma
Siber tehditleri azaltmak ve önlemek için OCR, HIPAA kapsamındaki sağlık hizmeti sağlayıcıları, sağlık planları, takas odaları ve iş ortakları için çeşitli en iyi uygulamaları önerir.
Bunlar arasında uygun anlaşmaların yürürlükte olduğundan emin olmak için tedarikçi ilişkilerinin gözden geçirilmesi, risk analizinin iş süreçlerine entegre edilmesi, denetim kontrollerinin uygulanması, çok faktörlü kimlik doğrulamanın kullanılması, korunan sağlık bilgilerinin şifrelenmesi, düzenli eğitim sağlanması ve önceki olaylardan öğrenilen derslerin güvenlik yönetimi süreçlerine dahil edilmesi yer alır. .
Green Ridge Behavioral Health ile yapılan anlaşma, hasta mahremiyetinin korunması ve sağlık sektörüne olan güvenin sürdürülmesinde siber güvenlik önlemlerinin kritik öneminin bir hatırlatıcısıdır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.