E-posta Güvenliği ve Koruması, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Çocuk Hastanesi Ağrı Yönetimi Firmasındaki Olaylar 50.000 Kişiyi Etkiliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Aralık 2024
Florida’daki bir ağrı yönetimi firmasındaki içeriden gelen bir ihlal ve Colorado’daki bir pediatri hastanesindeki bir e-posta ihlali, federal araştırmacılar tarafından tespit edilen HIPAA ihlalleri nedeniyle 1,7 milyon dolardan fazla para cezasıyla sonuçlandı. İki olaydan 50.000’den az kişi etkilendi.
Ayrıca bakınız: Netskope HIPAA Haritalama Kılavuzunu Kullanma
ABD Sağlık ve İnsani Hizmetler Bakanlığı Salı günü yaptığı açıklamada, 2019’da neredeyse 2019’da bildirilen uygulamanın neredeyse tamamını etkileyen içeriden bir ihlale ilişkin soruşturmanın ardından Clearway Ağrı Çözümleri Enstitüsü olarak faaliyet gösteren Gulf Coast Pain Consultants’a 1,19 milyon dolar para cezası verdiğini söyledi. 35.000 kişi.
Perşembe günü HHS Sivil Haklar Ofisi, e-postayla ilgili iki ihlale yönelik soruşturmaların ardından Colorado Çocuk Hastanesi’ne 548.265 dolar para cezası kestiğini açıkladı: 2017’de 3.370 kişiyi etkileyen bir kimlik avı saldırısı ve 2020’de korumalı sağlık bilgileri içeren üç e-posta hesabının hacklenmesi 10.840 kişiden.
Körfez Kıyısı Olayı
Ağrı yönetimi uygulaması araştırması, sözleşmeli eski bir bağımsız işletme danışmanı üzerinde yoğunlaştı. Yüklenici, Medicare iddialarında dolandırıcılık yapmak amacıyla muayenehanenin hastaların korunan sağlık bilgilerini içeren elektronik sağlık kayıtlarına erişmekle suçlandı.
HHS OCR, Gulf Coast’un yüklenicinin iş danışmanlığı hizmetleri sağlamak üzere Mayıs 2018’de tutulduğunu ve Ağustos 2018’de bu hizmetleri vermeyi bıraktığını bildirdi.
Ancak Şubat 2019’da Gulf Coast, eski yüklenicinin, potansiyel sahte Medicare taleplerinde kullanılmak üzere hastaların korunan sağlık bilgilerini almak için muayenehanenin elektronik tıbbi kayıtlarına üç kez yetkisiz olarak erişmeye devam ettiğini keşfetti. Keşif üzerine Gulf Coast, yüklenicinin sistemlerine erişimini sonlandırdı.
Ele geçirilen PHI, hasta adlarını, adreslerini, telefon numaralarını, e-posta adreslerini, doğum tarihlerini, Sosyal Güvenlik numaralarını, çizelge numaralarını, sigorta bilgilerini ve birinci basamak bakım bilgilerini içeriyordu.
HHS OCR tarafından adı belirtilmeyen eski yüklenici, daha sonra verilmeyen hizmetler için 6.500 sahte Medicare iddiası oluşturmakla suçlandı. Sonuçta suçsuz bulundu.
HHS OCR direktörü Melanie Fontes Rainer yaptığı açıklamada, “Mevcut ve eski işgücü, sağlık hizmetinin mahremiyetine ve güvenliğine yönelik tehditler oluşturabilir; bakım ve sağlık sistemimize olan güvenin devamlılığını riske atabilir” dedi.
“Etkili siber güvenlik ve HIPAA Güvenlik Kuralına uygunluk, sağlık bilgilerine kimlerin erişebileceğinin gözden geçirilmesinde proaktif olmak ve şüpheli güvenlik olaylarına hızla yanıt vermek anlamına gelir.”
Körfez Kıyısı olayına ilişkin OCR soruşturması, uygulamanın, doğru ve kapsamlı bir risk analizi yürütmedeki başarısızlık; bilgi sistemlerindeki faaliyet kayıtlarının düzenli olarak gözden geçirilmesine yönelik prosedürlerin uygulanmaması; eski iş gücü üyelerinin ePHI’ye erişiminin sona erdirilmesine yönelik prosedürlerin uygulanmaması; ve işgücü üyelerinin bilgi sistemlerine erişimini oluşturmaya ve değiştirmeye yönelik prosedürlerin uygulanmaması.
HHS OCR, Ağustos ayında Körfez Kıyısı’na kurumun hukuki para cezası uygulayacağını bildiren bir karar önerisi yayınladı. Gulf Coast, duruşma hakkından feragat etti ve OCR’nin bulgularına itiraz etmedi. HHS OCR, nihai karara ilişkin bildirimini Eylül ayında Körfez Kıyısı’na yayınladı.
Körfez Kıyısı, Bilgi Güvenliği Medya Grubu’nun HHS OCR’nin uygulamaya karşı yaptırım eylemi hakkında yorum yapma talebine hemen yanıt vermedi.
Çocuk Hastanesi İhlalleri
HHS OCR, 2017’de 3.370 kişinin PHI’sını içeren bir e-posta hesabını ele geçiren bir kimlik avı saldırısı ve 2020’de 10.840 kişinin PHI’sını içeren üç çalışan e-posta hesabının ele geçirilmesini içeren başka bir ihlalin yer aldığı rapor edilen ihlallerin ardından Colorado Çocuk Hastanesi’ni araştırdığını söyledi.
Ajans, soruşturmasının, bildirilen ilk ihlalin, bir e-posta hesabında çok faktörlü kimlik doğrulamanın devre dışı bırakılması nedeniyle meydana geldiğini belirlediğini söyledi.
İkinci ihlaller kısmen, iş gücü üyelerinin bilinmeyen üçüncü tarafların e-posta hesaplarına erişmesine izin vermesiyle meydana geldi.
OCR, soruşturması sırasında hastanenin iş gücü üyelerini HIPAA Gizlilik Kuralı konusunda eğitmedeki başarısızlığı ve sistemlerinde ePHI’ye yönelik potansiyel riskleri ve güvenlik açıklarını belirlemek amacıyla uyumlu bir risk analizi yürütmeye yönelik HIPAA Güvenlik Kuralı gerekliliğiyle ilgili ihlaller de tespit etti.
Fontes Rainer yaptığı açıklamada, “E-posta, siber saldırganların sağlık bilgi sistemlerine girmeleri ve gizliliği ve güvenliği tehlikeye atmaları için çok yaygın bir yol olmaya devam ediyor” dedi. “Sağlık kuruluşları, e-posta hesaplarındaki potansiyel riskleri ve güvenlik açıklarını belirlemeli ve sağlık bilgilerini korumak için iş güçlerini eğitmelidir” bu hesaplarda.”
HHS OCR, Haziran 2024’te pediatri tesisine para cezası uygulanmasını amaçlayan bir karar önerisi yayınladı. Colorado Çocuk Hastanesi duruşma hakkından feragat etti ve OCR’nin bulgularına itiraz etmedi.
Colorado Çocuk Hastanesi, ISMG’nin yorum talebine hemen yanıt vermedi.