Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
HHS OCR, Kötü Niyetli Bir İşçinin 2013’te Hasta Bilgilerini Çaldığını ve Sattığını Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
6 Şubat 2024
Federal düzenleyiciler, New York City’deki bir tıp merkezine 4,75 milyon dolar para cezası verdi ve 2013 yılında hasta verilerini bir kimlik hırsızlığı çetesine satan bir hastane çalışanının soruşturması sırasında keşfedilen olası HIPAA ihlallerini gidermek için bir düzeltme eylem planı yapılması çağrısında bulundu.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Salı günü ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi, Bronx’taki Montefiore Tıp Merkezi ile yapılan anlaşmanın, bir çalışanın Ocak ayından itibaren hastaların korunan sağlık bilgilerini çalıp satmasına yol açan kuruluştaki “veri güvenliği başarısızlıklarından” kaynaklandığını söyledi. Haziran 2013’e kadar.
Tıp merkezi yetkilileri, Mayıs 2015’te New York Polis Departmanı belirli bir hastanın tıbbi bilgilerinin çalındığına dair kanıtları kendilerine bildirene kadar olaydan haberdar olmadı. HHS OCR, bunun Montefiore Tıp Merkezi’ni bir iç soruşturma yürütmeye sevk ettiğini ve bu soruşturmanın iki yıl önce grup çalışanlarından birinin binlerce hastanın elektronik korumalı sağlık bilgilerini çaldığını ve bunu bir kimlik hırsızlığı çetesine sattığını ortaya çıkardığını söyledi.
Montefiore, olayı Temmuz 2015’te HHS OCR’ye 12.517 kişiyi etkileyen elektronik sağlık kayıtlarını içeren bir hırsızlık olarak bildirdi.
OCR, konuyla ilgili soruşturmasında, Montefiore’un PHI’ya yönelik potansiyel riskleri ve güvenlik açıklarını analiz etme ve tanımlama, sağlık bilgi sistemlerinin faaliyetlerini izleme ve koruma ve kayıt ve kayıt altına alan politika ve prosedürleri uygulamadaki başarısızlıkları da dahil olmak üzere HIPAA Güvenlik Kuralının çok sayıda potansiyel ihlalini tespit ettiğini söyledi. PHI içeren veya kullanan sistemlerdeki aktiviteyi inceleyin.
HHS OCR yaptığı açıklamada, “Bu güvenlik önlemleri olmadan Montefiore Tıp Merkezi siber saldırıyı önleyemedi ve hatta saldırının yıllar sonra gerçekleştiğini bile tespit edemedi.” dedi.
HHS OCR Direktörü Melanie Fontes Rainer, yaptığı açıklamada, “Maalesef, içeriden kötü niyetli kişilerden gelen siber saldırıların nadir olmadığı bir zamanda yaşıyoruz” dedi.
“Hastaların koruduğu sağlık bilgilerine yönelik riskler artık her zamankinden daha fazla göz ardı edilemez ve hızla ve özenle ele alınmalıdır” dedi. “Montefiore ile yapılan bu soruşturma ve anlaşma, sağlık sektörünün kendi duvarları içinde bile siber suçlular ve hırsızlar tarafından nasıl ciddi şekilde hedef alınabileceğinin bir örneğidir.”
Multimilyon dolarlık mali anlaşmaya ek olarak Montefiore, elektronik PHI’nın kapsamlı bir güvenlik riski analizinin yürütülmesini, analizde belirlenen tüm risk ve güvenlik açıklarının ele alınmasını, ePHI’yi içeren faaliyetlerin kaydedilmesi ve incelenmesi için denetim kontrollerinin uygulanmasını içeren bir düzeltici eylem planı uygulamayı kabul etti. ve gizlilik ve güvenlik prosedürlerini ve uygulamalarını gözden geçirmek ve güncellemek.
Düzeltici eylem planı aynı zamanda Montefiore’un güncellenmiş gizlilik ve güvenlik politikalarını ve prosedürlerini iş gücüne dağıtmasını ve PHI’ye erişimi olan tüm iş gücü üyeleri için HIPAA Gizlilik, Güvenlik ve İhlal Bildirimi kurallarının gerekliliklerini ele alan eğitim materyalleri sağlamasını talep ediyor. .
Montefiore Açıklaması
Montefiore, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, olayın ortaya çıkması üzerine ve aradan geçen yıllarda tıp merkezinin, sistemlerinin güvenliğini artırmak ve hasta bilgilerinin korunmasını güçlendirmek için “önemli adımlar” attığını söyledi.
Montefiore hasta bilgileri hırsızlığına karışan işçiyi kovdu. Tıp merkezi, bu çalışanın tutuklandığını, üç ağır suçla suçlandığını ve bu suçtan dolayı başarıyla yargılandığını söyledi.
“Hırsızlık resmi olarak bildirilmeden önce Montefiore, hasta bilgilerini içeren uygulamalar için izleme yeteneklerini genişletmek için zaten çalışmıştı ve tüm elektronik kayıtları korumak için ek teknik güvenlik önlemleri ekleyerek hasta bilgilerini hırsızlık veya benzeri suç faaliyetlerinden korumak için adımlar atmıştı.” merkez dedi.
Olaydan bu yana Montefiore’un gizlilik ve güvenlik standartlarını güçlendirmek için personele yönelik eğitimleri ve sosyal yardımları artırdığı belirtildi.
“Ülke çapındaki sağlık sistemleri veri ihlalleri ve diğer kötü amaçlı siber saldırıların hedefi olmaya devam ederken, hasta bilgilerini koruma sorumluluğumuzu çok ciddiye alıyoruz ve hastalarımızın mahremiyetini korumak için güvenlik protokollerinin ve siber güvenlik önlemlerinin her zaman sürdürülmesini sağlamaya kararlıyız.” dedi Montefiore.
Diğer Olaylar
HHS OCR’nin Montefiore ile anlaşması, kurumun son aylarda gerçekleştirdiği diğer birçok HIPAA uygulama eyleminin ardından geldi.
Bunlar arasında, 2021’de uygulamaya karşı yapılan altı “erişim hakkı” şikayetiyle ilgili olarak New Jersey merkezli Optum Medical Care ile 160.000 dolarlık bir anlaşma; Ajansın yaklaşık 35.000 kişiyi etkileyen kimlik avı ihlaline odaklanan ilk HIPAA davasında Louisiana merkezli Lafourche Medical Group ile 480.000 dolarlık bir anlaşma; ve 2019’da bildirilen ve yaklaşık 206.700 kişiyi etkileyen bir fidye yazılımı ihlaline ilişkin soruşturmanın ardından Massachusetts merkezli Doctors Management Group ile 100.000 dolarlık bir anlaşma.
Gizlilik avukatı, “En son OCR anlaşmaları ‘erişim hakkı’ davalarını içerse ve 1 milyon dolardan az olsa da, bu son anlaşma, OCR’nin hâlâ uyumsuzluk modelleri olarak gördükleri durumlar için önemli cezalar uygulamaya istekli olduğunu hatırlatıyor” dedi. Davis Wright Tremaine hukuk firmasından Adam Greene. “Tarihsel olarak OCR, daha büyük ölçekli kuruluşlarla daha büyük ödeme tutarları aramaya özellikle istekli olmuştur.”
Greene, dışarıdan gelen bilgisayar korsanlarının tehdidi gün geçtikçe büyümeye devam ederken, sosyal güvenlik numaralarını ve diğer hasta bilgilerini kimlik hırsızlığı için kullanmak isteyen içerideki kişilerin tehdidinin hiçbir zaman ortadan kalkmadığını söyledi. “Kuruluşlar, SSN kullanımını nerede azaltabileceklerini ve bu tür verilere şüpheli erişim düzeylerini nasıl izleyebileceklerini düşünmeli.”
Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, ihlalin rapor edilmesinden bu yana neredeyse on yıl geçtiği göz önüne alındığında, HHS OCR’nin Montefiore olayıyla ilgili soruşturmada neden ancak şimdi bir anlaşmaya vardığını merak ediyor.
“Özellikle, bu anlaşma, OCR’nin HIPAA kapsamındaki kuruluşlardan ve iş ortaklarından aldığı ihlal bildirimleriyle ilgili olarak yapmakta olduğu devam eden çalışmaları vurgularken, bu soruşturmaların sonuçlanması neden bu kadar uzun sürüyor?” diye sordu. “Ayrıca, eğer OCR’nin endişesi, bir bütün olarak sağlık sektörü için siber güvenlik çıtasını yükseltmek de dahil olmak üzere, HIPAA kurallarına uymayan düzenlenmiş kuruluşları tespit etmekse, neden ihlalleri rapor etmeyen kuruluşları soruşturmuyorlar? OCR’ı mı?”
Geçtiğimiz yıl sağlık sektörü, HHS OCR’ye rekor sayıda kişiyi (yaklaşık 135,3 milyon) etkileyen rekor sayıda büyük sağlık verisi ihlali (734 olay) bildirdi. Bu, ABD nüfusunun %40’ından fazlasının korunan sağlık bilgilerinin tek bir yıl içinde ele geçirilmesine eşdeğerdir (bkz.: 2023, Sağlık Verileri İhlallerinde Uzun Süreli Rekorları Nasıl Kırdı?).
Bu ihlallerin büyük çoğunluğu bilgisayar korsanlığı olaylarını içeriyordu.
HHS kısa süre önce sağlık sektörü kuruluşlarını, artan siber tehditlere daha iyi yanıt vermeye yardımcı olmak için gönüllü “temel” ve “geliştirilmiş” siber güvenlik performans hedeflerinden oluşan bir liste uygulamaya teşvik eden bir kılavuz yayınladı (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).