ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), Sivil Haklar Dairesi (OCR), acil tıp, mesleki tıp ve laboratuvar testleri konusunda uzmanlaşmış, Louisiana merkezli önde gelen bir tıp grubu olan Lafourche Medical Group ile anlaştı.
Karar, yaklaşık 34.862 kişinin elektronik korumalı sağlık bilgilerinin ele geçirilmesine neden olan bir kimlik avı saldırısının ardından başlatılan kapsamlı bir soruşturmanın sonucunda geldi.
OCR Direktörü Melanie Fontes Rainer, sektörde daha fazla tedbir alınmasının aciliyetini vurguladı ve şöyle dedi: “Kimlik avı, bilgisayar korsanlarının hassas verileri ve sağlık bilgilerini çalmak için sağlık sistemlerine erişmenin en yaygın yoludur.”
Lafourche Medical Group Siber Güvenlik Açıklarını Ortaya Çıkardı
Bu, OCR’nin, sağlık bilgilerinin mahremiyetini ve güvenliğini koruyan bir federal yasa olan Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) Kuralları kapsamında bir kimlik avı saldırısıyla ilgili olarak vardığı ilk anlaşmayı temsil ettiği için tarihi bir anı temsil ediyor.
Lafourche Medical Group, ihlali 28 Mayıs 2021’de HHS’ye bildirdi ve 30 Mart 2021’deki başarılı bir kimlik avı saldırısının, elektronik korumalı sağlık bilgileri içeren bir e-posta hesabına yetkisiz erişim sağladığını açıkladı.
Ele geçirilen bilgiler arasında tıbbi teşhisler, terapi ziyaret sıklıkları ve tıbbi tedavi yerleri gibi son derece hassas ayrıntılar yer alıyordu.
Kimlik avı saldırılarının etkileri, tehlikeye atılmış verilerin ötesine geçerek kimlik hırsızlığına, mali kayba, ayrımcılığa, damgalanmaya, zihinsel acıya ve itibar kaybına neden olabilir.
HIPAA tarafından düzenlenen sağlık kuruluşları, ihlalleri HHS’ye bildirmekle yükümlüdür ve yalnızca bu yıl, büyük ihlaller 89 milyondan fazla kişiyi etkiledi.
OCR’nin Lafourche Medical Group’a yönelik araştırması, siber güvenlik önlemlerinde kritik eksiklikleri ortaya çıkardı. Bildirilen ihlalden önce tıbbi grup, elektronik olarak korunan sağlık bilgilerine yönelik potansiyel tehditleri veya güvenlik açıklarını belirlemek için gerekli bir risk analizini yapmamıştı.
Ek olarak, siber saldırılara karşı koruma sağlamak amacıyla bilgi sistemi aktivitesinin rutin olarak gözden geçirilmesine yönelik yerleşik politikalar veya prosedürler yoktu.
Lafourche Medical Group, OCR Tarafından İzlenen Düzeltici Faaliyet Taahhüdünde Bulundu
Buna yanıt olarak Lafourche Medical Group, OCR ile 480.000 ABD Doları tutarında bir anlaşma yapmayı kabul etti ve önümüzdeki iki yıl boyunca OCR’nin gözetimi altında kapsamlı bir düzeltici eylem planı uygulayacak. Düzeltici önlemler arasında gelişmiş güvenlik önlemlerinin oluşturulması ve uygulanması, HIPAA Kurallarına uygun politikalar geliştirilip revize edilmesi ve korunan sağlık bilgilerine erişimi olan personele eğitim sağlanması yer alıyor.
Bu anlaşma, dijital tehditlerin gelişmeye devam ettiği bir çağda hassas sağlık bilgilerinin bütünlüğünü ve gizliliğini korumada proaktif siber güvenlik önlemlerinin kritik rolünü vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.