La Oficina de Acuerdos de Derechos Civiles puede señalar un mayor escrutinio de los ataques de ransomware

El 31 de octubre de 2023, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. Anunciar Ha llegado a un acuerdo con Doctors’ Management Services Inc. (DMS) con respecto a un ataque de ransomware autoinformado que ocurrió en 2017. Según el comunicado de prensa de OCR, esta es la primera vez que OCR alcanza el nivel de… Colonia Después de que se produjera una infracción denunciada como resultado de un ataque de ransomware.

Las entidades sujetas a la Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996, modificada por la Ley de Tecnología de la Información Médica para la Salud Económica y Clínica de 2009 (HIPAA), deben ver esto como una indicación de la intención de la OCR de garantizar que las entidades cubiertas y los socios comerciales estén preparados. para abordar las vulnerabilidades de ciberseguridad y son proactivos a la hora de revisar y abordar los riesgos potenciales.

Conducta y liquidación informada

DMS es una empresa de gestión de prácticas que actúa como socio comercial de las entidades cubiertas. A finales de 2018, DMS descubrió que los atacantes habían infectado los servidores de la empresa con el ransomware GandCrab, un tipo de ransomware cifrado que bloquea archivos hasta que la víctima del ataque paga un rescate. DMS informó que, aunque el atacante no activó el ransomware hasta 2018, obtuvo acceso a los sistemas DMS en abril de 2017. La violación afectó la información de salud protegida (PHI) de aproximadamente 206,695 personas.

En su investigación posterior, la OCR encontró tres áreas principales en las que DMS no cumplió con los estándares impuestos por HIPAA. base de seguridad:

1. DMS no realizó un análisis de riesgos riguroso e integral en toda la empresa para evaluar los riesgos técnicos, físicos y ambientales asociados con el manejo de información médica protegida (PHI) electrónica.
2. DMS no ha implementado procedimientos para revisar periódicamente los registros de la actividad del sistema de información, como registros de auditoría, informes de acceso e informes de seguimiento de incidentes de seguridad.
3. DMS no implementó políticas y procedimientos adecuados para cumplir con los estándares y especificaciones de implementación requeridas por la Regla de Seguridad.

Como parte del acuerdo, DMS acordó pagar $100,000, sin admitir responsabilidad, y adherirse a un Plan de Acción Correctiva (CAP).

Plan de acción correctiva

Durante los próximos tres años, la OCR requerirá que DMS implemente varias acciones correctivas, incluido el inicio de un análisis integral de riesgos de seguridad. El CAP exige que DMS realice un inventario de todas sus instalaciones, equipos y sistemas (cualquier cosa que contenga información electrónica de salud personal) y actualice su análisis de riesgos en consecuencia. Luego, el DMS debe actualizar su plan de gestión de riesgos para abordar cualquier riesgo de seguridad descubierto después del análisis de riesgos, que debe ser aprobado por la OCR.

El CAP requiere que DMS actualice sus políticas y procedimientos para cumplir con los estándares de seguridad federales. Como mínimo, el DMS debe revisar sus políticas y procedimientos para incluir una revisión de la actividad del sistema de información, que debe ser lo suficientemente extensa como para revisar el acceso a los dispositivos locales y garantizar que el firewall externo del DMS esté actualizado. El CAP requiere que el DMS implemente procedimientos de capacitación y concientización sobre seguridad. A medida que DMS implementa y capacita a sus empleados, está obligado a continuar informando a la OCR, y si DMS viola la política CAP, la OCR puede imponer sanciones monetarias civiles adicionales.

Ramificaciones

Con el anuncio del acuerdo después de octubre, Mes de la Concientización sobre la Ciberseguridad, la OCR señala que responsabilizará a las entidades cubiertas y a los socios comerciales por violaciones de ransomware en la medida en que las entidades cubiertas y los socios comerciales no hayan tomado precauciones para identificar y abordar los riesgos potenciales. La OCR afirmó en su comunicado de prensa que las filtraciones de datos han aumentado un 239%, con un aumento del 278% en los ataques de ransomware en los últimos cuatro años. En 2023, hasta ahora, la piratería ha representado el 77% de las infracciones importantes notificadas a la OCR. Estas infracciones afectaron a aproximadamente 88 millones de personas, lo que representa un aumento del 60 % con respecto al año pasado.

Todas las entidades cubiertas y socios comerciales sujetos a HIPAA deben contar con medidas de seguridad adecuadas para prevenir ataques de ransomware. Esto incluye realizar un análisis de riesgos integral para identificar vulnerabilidades potenciales e implementar las medidas necesarias para abordar estas vulnerabilidades. Las entidades cubiertas y los socios comerciales deben asegurarse de que sus políticas y procedimientos de HIPAA cumplan plenamente para garantizar que, en caso de un ataque de ransomware, la OCR no pueda identificar políticas y procedimientos que no cumplan con HIPAA como un problema en cualquier investigación posterior.