Hva skjer når helsevesenet ditt blir stjålet eller holdt for løsepenger? Det kommer an på

Hvorfor cybersecurity er et stort problem for små bedrifter Cybersecurity-angrep kan ødelegge små bedrifter som ikke er forberedt. TechRepublics Karen Roby snakker med en sikkerhetsekspert om ransomware, phishing-angrep og mangelfulle IT-forsvarsplaner.

Cyberattacker på legekontorer og sykehus øker. Helsevesenets poster er verdt mye mer enn et kredittkortnummer eller personnummer - $ 250 per post mot $ 5, 40 for et nummer.

I Reiselivsindeksen for 2019 utpekte helsepersonell cybersecurity som en topp bekymring. Undersøkelsen fant også at ledere tar noen skritt for å forsvare seg mot disse angrepene: Omtrent halvparten av de spurte hadde kjøpt nettforsikring og hadde skrevet en forretnings kontinuitetsplan. Bare 34% har simulert et nettbrudd for å identifisere områder med systemsårbarhet.

Katastrofegjenoppretting og kontinuitetsplan (TechRepublic Premium)

Å bestemme seg for om det skal løses løsepenger i et ransomware-angrep er bare den første store beslutningen å ta. I umiddelbar kjølvannet av et angrep må ledere i helsetjenester bestemme hvordan statlige og føderale regler gjelder for datainnbruddet. Health Insurance Portability and Accountability Act of 1996 (HIPAA) gir litt veiledning, og hver stat har sitt eget sett med lover.

Helsepersonelledere må også bestemme hvordan de skal kunngjøre at et angrep har skjedd, samt bestemme hvor mye de skal fortelle ansatte og pasienter. Beslutningen om å kunngjøre et brudd er ikke så tydelig som det burde være.

TechRepublic tok kontakt med 15 av de største helseorganisasjonene i Amerika for å spørre om retningslinjene deres for å håndtere datainnbrudd og formidle brudd til pasienter og ansatte.

Ett sykehus svarte: "Ingen kommentarer." Resten hadde ikke noe å si på disse retningslinjene.

MonsterCloud-administrerende direktør Zohar Pinhasi sa at firmaet hans har hatt en økning i samtaler fra helsevirksomheter på opptil 500% de siste månedene. Fordi sykehus og andre tilbydere ikke ønsker å innrømme å miste kontrollen over dataene sine, avslører ikke organisasjoner angrepet.

"Når det gjelder ransomware, er alle flau, og ingen vil snakke, " sa han.

Ettersom datainnbrudd blir en realitet og ikke bare er en bekymring, må helsepersonell gjøre mer for å forberede seg på et brudd. Her er en titt på hva føderale og statlige lover krever, samt hvordan du kan informere publikum om et brudd.

HIPAA og brudd på data

Individuelle HIPAA-regler dekker varsling om personvern, sikkerhet og brudd. Krav om avsløring avhenger av hvor mange som blir berørt av et brudd. Hvis mindre enn 500 mennesker er berørt, kan helsepersonell kunngjøre bruddet i en årsrapport. Hvis mer enn 500 personer er rammet, må sykehuset eller en annen leverandør publisere en pressemelding innen 60 dager.

HIPAA-varslingsreglene forutsetter at beskyttet helseinformasjon er blitt utsatt, ikke bare beslaglagt. I teorien risikerer de fleste ransomware ikke utgivelsen av informasjonen, bare tilgjengeligheten av den, slik Allan Buxton fra Secure Forensics påpeker.

"Selv om de gir mandat til en etterforskning av en hendelse med ransomware, overlater HIPAA-retningslinjene det foreløpig til byrået å avgjøre om varsling er nødvendig, " sa han.

Mary Hildebrand, styreleder for Privacy & Cybersecurity-praksis hos Lowenstein Sandler, sa at et ransomware-angrep generelt anses som et datainnbrudd under HIPAA fordi det er en uautorisert avsløring av ePHI. I et ransomware-angrep blir eEPHI kryptert av gjerningsmennene som krever penger, bitcoin eller noe annet verdifullt hensyn til å levere en nøkkel for å låse opp dataene.

"OCR hevder at ePHI ble anskaffet under krypteringsprosessen, med mindre den dekkede enheten som ble angrepet kan bevise noe annet, " sa hun. "Som enhver helseorganisasjon som har kjempet med dette problemet kan fortelle deg, er dette en høy bar å møte."

Chris Duvall, seniordirektør i The Chertoff Group, sa at selskaper må balansere potensialet for økonomisk skade og omdømme med juridiske og lovgivningsmessige rapporteringskrav. Duvall sa at de juridiske kravene til avsløring ikke alltid er klare.

"I tillegg kan amerikanske myndighetsorganer i noen tilfeller behandle de som blir brutt mer som kriminelle enn ofre, spesielt hvis byrået oppfatter organisasjonens sikkerhetsevner var ineffektive, " sa han.

På statlig nivå varierer lover angående brudd på data dramatisk, og krever i utgangspunktet at helseorganisasjoner må ha en stat-for-stat tilnærming for å avsløre brudd. De fleste - men ikke alle - stater krever at helseorganisasjoner skal varsle riksadvokaten eller et annet statlig byrå om brudd. Bare 18 stater setter en spesifikk tidsramme for å varsle personer hvis data er blitt eksponert. Bare fem stater krever varsling når data har blitt tilgang, men ikke er utsatt.

Fortelle pasienter og ansatte

Vince Galloro fra Sunrise Health Communications sa at helseorganisasjoner bør avsløre et brudd umiddelbart selv i tilfeller der føderale og statlige lover ikke krever offentlig offentliggjøring.

"Organisasjonen trenger fremdeles å kommunisere med sine interessenter og bredere publikum om virkningene av angrepet, selv om den ikke kan beskrive angrepet i noen detalj, " sa han. "Kommunikasjonsledere i helseorganisasjoner bør utarbeide et veikart for å svare på begge disse situasjonene - før de oppstår."

Professor Mohammad Nejad, førsteamanuensis i markedsføring ved Fordham University, sa at helseorganisasjoner har etisk ansvar overfor pasienter så vel som forretningsgrunner for å avsløre et brudd så snart som mulig.

"Dette er en veldig uheldig hendelse som vil føre til alle interessenters mistillit til selskapet, ledelsen og de ansatte, " sa han. "Jo mer firmaet er gjennomsiktig og gir informasjon, jo mer kontroll vil de ha over spredningen av negativt jungeltelegrafen."

Hildebrand sa at spørsmålet ikke er hva de skal fortelle ansatte og pasienter, men også når og hvordan. Hun anbefaler å holde meldinger korte, saklige og tidsriktige.

"Ikke avslør informasjon som ikke er nødvendig for dem å vite, " sa hun. "Det vil være flere meldinger når løsninger implementeres."

Buxton sa at han vil ta feil på siden av avsløringen, spesielt hvis pasientdata blir gjort uopprettelig, men først etter at hendelsesundersøkelsen er fullført og de fulle konsekvensene er kjent.

Nøkkelen - ingen overraskelse - er å være forberedt.

"Hvis for eksempel en organisasjon er i stand til å utføre en plan for gjenoppretting av katastrofer som inkluderer sikkerhetskopiering av data, applikasjoner, infrastruktur / nettskapasitet og passende kompetent personell, er det levedyktige alternativer til å bare betale opp, " sa Hildebrand.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com