Luego de una investigación sobre la violación de la información médica protegida de 206,695 personas, la Oficina de Derechos Civiles anunció un acuerdo con Doctors’ Management Services, que brinda facturación médica, credenciales de pagador y otros servicios de atención médica de terceros a varias entidades cubiertas.
POR QUÉ IMPORTA
DMS, con sede en Massachusetts, informó en abril de 2019 que un tercero no autorizado obtuvo acceso a su red el 1 de abril de 2017 y estuvo activo en su sistema hasta que implementó ransomware el 24 de diciembre de 2018.
Según la OCR, el informe de infracción presentado ante los Servicios Humanos y de Salud de EE. UU. indicó que la PHI quedó expuesta cuando su servidor de red fue infectado con el ransomware GandCrab.
La investigación de la OCR del incidente bajo las Reglas de notificación de infracciones, seguridad y privacidad de HIPAA encontró evidencia de fallas potenciales, monitoreo insuficiente del sistema para proteger contra un ataque cibernético y falta de políticas y procedimientos de HIPAA que implementen los requisitos de privacidad de HIPAA.
La agencia dijo que, como socio comercial de entidades cubiertas, DMS no contaba con medidas adecuadas para proteger la confidencialidad, integridad y disponibilidad de la PHI electrónica.
“DMS no implementó procedimientos para revisar periódicamente los registros de la actividad del sistema de información, como registros de auditoría, informes de acceso e informes de seguimiento de incidentes de seguridad”, dijo el HHS en un comunicado el martes.
Según la directora de OCR, Melanie Fontes Rainer, la supervisión y muchas otras mejores prácticas de ciberseguridad deben realizarse periódicamente en toda una empresa para evitar futuros ataques.
El plan de acción correctiva que DMS acordó identifica los pasos que debe tomar para proteger la ePHI y mantener el cumplimiento de HIPAA, que incluyen:
- Revisar y actualizar su análisis de riesgos para identificar los riesgos y vulnerabilidades potenciales de los datos dentro de los 180 días posteriores a la fecha de vigencia del plan.
- Actualizar el plan de gestión de riesgos a nivel empresarial de la empresa para abordar y mitigar cualquier riesgo de seguridad y vulnerabilidades encontradas en el análisis de riesgos aprobado dentro de los 90 días posteriores a la aprobación de este último.
- Revisar y revisar las políticas y procedimientos escritos para cumplir con HIPAA dentro de los 60 días posteriores a la aprobación del plan de gestión de riesgos actualizado.
- Proporcionar a cada miembro de la fuerza laboral que tenga acceso a PHI capacitación sobre las políticas y procedimientos aprobados por HIPAA dentro de los 60 días y luego cada 12 meses.
DMS debe proporcionar informes anuales sobre el cumplimiento del PAC trienal.
LA TENDENCIA MÁS GRANDE
“En los últimos cuatro años, ha habido un aumento del 239% en grandes infracciones reportadas a la OCR que involucran piratería y un aumento del 278% en ransomware”, según el HHS. La piratería ya ha aumentado un 60% respecto al año pasado, según la OCR, y afectará a más de 88 millones de personas en 2023.
Desde hace varios años, las prácticas de ciberseguridad de Se sabe que los socios comerciales causan violaciones de datos de atención médica..
GandCrab apuntó a PC con Windows más antiguas Microsoft ya no lo admite con vulnerabilidades de bloqueo de mensajes del servidor.
SMB permitió a las computadoras con Microsoft Windows compartir archivos, puertos serie e impresoras a través de una red en sistemas heredados. Utilizando el exploit EternalBlue de la Agencia de Seguridad Nacional (las mismas herramientas de piratería utilizadas en WannaCry y Petya), GandCrab se propagó a través de correo electrónico no deseado, sitios falsos de descifrado de software y sitios maliciosos de WordPress.
“Si somos perezosos a la hora de parchear y actualizar nuestros sistemas en todo el sector, GandCrab será (algo) problemático para el sector de la salud”, dijo Lee Kim, director senior de ciberseguridad y privacidad de HIMSS.
“Pero ya no estamos en la década de 1990 y muchas organizaciones de atención médica son un poco más proactivas con sus programas de ciberseguridad”, dijo. Noticias de TI para el cuidado de la salud en julio de 2018.
Los riesgos de ciberseguridad de terceros provenientes de socios comerciales como DMS han requerido que las organizaciones de atención médica prioricen la seguridad en las adquisiciones, revisen cada contrato periódicamente, implementen software de gestión de identidad y acceso en redes y sistemas, implementen mejores prácticas para la higiene cibernética y mucho más.
EN EL REGISTRO
“Nuestro acuerdo destaca cómo los ataques de ransomware son cada vez más comunes y tienen como objetivo el sistema de salud”, dijo Rainer en el anuncio del HHS. “Esto deja a los hospitales y a sus pacientes vulnerables a violaciones de datos y seguridad.
“En este espacio en constante evolución, es fundamental que nuestro sistema de atención médica tome medidas para identificar y abordar las vulnerabilidades de ciberseguridad, además de revisar de manera proactiva y periódica los riesgos, registros y actualizar las políticas”, añadió.
Andrea Fox es editora senior de Healthcare IT News.
Correo electrónico: afox@himss.org
Healthcare IT News es una publicación de HIMSS Media.
2023-11-02 00:44:25
#OCR #llega #acuerdo #con #por #violación #ransomware,
Leave a Reply