Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Uzlaşma, risk analizini geliştirmeye odaklanan düzeltici eylem planını içerir
Marianne Kolbasuk McGee (Healthinfosec) •
18 Ağustos 2025
2020 yılında 170.000 kişinin korunan kişisel bilgilerini etkileyen fidye yazılımı ihlali ile ilgili bir soruşturma, sertifikalı bir kamu muhasebesi ve danışmanlık firmasına karşı 175.000 dolar para cezasına yol açtı. Federal düzenleyiciler ayrıca şirketin potansiyel HIPAA ihlallerini çözmek için düzeltici bir eylem planı uygulamasını istedi.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Pazartesi günü, bir HIPAA iş ortağı olan BST & Co. CPAS, LLP ile yerleşmesinin, HHS’nin 15. fidye yazılımı uygulama eylemi ve 10. risk analizi icra eyleminden bu yana, ajansın 2023 ve 2024 yıllarında HIPAA uygulama öncelikleri olarak adlandırılanları formal olarak adlandırdığını söyledi.
Yerleşim, New York merkezli BST’nin 16 Şubat 2020’de ajansa bir ihlal raporu sunduktan sonra başlatılan bir soruşturmayı çözüyor.
O zamanki güvenlik tehdidi analistleri, BST saldırısında ihlal edilen bazı verilerin fidye yazılımı çete labirentinin kamuya erişilebilir web sitesinde ortaya çıktığını bildirdi (bkz:: Muhasebe firmasının hacklenmesi tıbbi grubu etkiler).
HHS OCR, soruşturmasının muhasebe firmasının “BST tarafından tutulan elektronik korumalı sağlık bilgilerinin gizliliği, bütünlüğü ve kullanılabilirliğine ilişkin potansiyel riskleri ve güvenlik açıklarını belirlemek için doğru ve kapsamlı bir risk analizi yapamadığını” söyledi.
Federal ajans ve BST arasındaki karar anlaşması, HHS’nin finansal cezasını ödemesinin yanı sıra, muhasebe firması risk analizini öne çıkaran ve uygulamanın risk yönetimini geliştiren düzeltici bir eylem planı uygulamaya çağırıyor.
Plan kapsamında BST, iki yıl boyunca yılda kapsamlı ve kapsamlı bir HIPAA güvenlik riski analizi yapmayı kabul etti; risk analizinde belirlenen güvenlik risklerini ve güvenlik açıklarını ele almak ve azaltmak için bir risk yönetimi planı geliştirmek ve uygulamak; HIPAA gizliliği ve güvenlik kurallarına uymak için gerektiğinde yazılı politikaları ve prosedürleri geliştirmek, sürdürmek ve gözden geçirmek.
BST ayrıca mevcut HIPAA ve Güvenlik Eğitim Programını artırmayı ve HIPAA politikaları ve prosedürlerinin uygulandığı tüm çalışanlar için yıllık eğitim vermeyi kabul etti.
HHS OCR direktörü Paula Stannard, “EPHI’nin nerede depolandığını ve onu korumak için hangi güvenlik önlemlerinin gerekli olduğunu belirlemek için bir HIPAA risk analizi gereklidir.” Dedi. “Bir risk yönetim planını bilgilendiren doğru ve kapsamlı bir risk analizinin tamamlanması, siber saldırıları ve ihlalleri azaltmak veya önlemek için temel bir adımdır.”
BST’nin ifadesi
BST Bilgi Güvenliği Medya Grubuna yaptığı açıklamada, firmanın 2020 yılında kapsamlı bir soruşturma yürüttüğünü ve OCR’nin 2025 yılında olaya soruşturma tamamladığını söyledi. BST, her ikisi de 2019 kötü amaçlı yazılım saldırısı sırasında hassas bir müşteri veya hasta bilgilerine erişilmediğini doğruladı. “Dedi.
Firma, “Olaydan bu yana BST, gelecekteki tehditlere karşı korumayı güçlendirmek için endüstri uzmanlarına danışmanlık da dahil olmak üzere gelişmiş siber güvenlik önlemleri uyguladı.” Dedi.
Buna ek olarak, BST kısa bir süre önce BST’nin dahili güvencelerini “endüstri ile desteklemek için üçüncü taraf bir siber güvenlik firması ile ortaklık kurdu ve diğer en iyi uygulamalarla ve kar amacı gütmeyen kuruluşların düşme kurbanından haksız çevrimiçi faaliyetlere yardımcı olmasına yardımcı oldu.” Dedi.
*18 Ağustos’ta UTC 23: 26’da BST’nin ifadesini içerecek şekilde güncellendi.