توافق 80 هزار دلاری شرکت بهداشتی ماساچوست با وزارت بهداشت آمریکا

به گزارش کارگروه بین الملل خبرگزاری سایبربان، وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) روز سه‌شنبه اعلام کرد که با شرکت سیستم اطلاعاتی الگون (Elgon Information Systems) به توافقی 80 هزار دلاری دست یافته است.

این شرکت به دلیل نقض قوانین فدرال مربوط به حفاظت از داده‌های مراقبت‌های بهداشتی، جریمه شده است.

الگون خدمات مربوط به پرونده‌های الکترونیکی پزشکی و پشتیبانی از صورت‌حساب را برای نهادهای بهداشتی تحت قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت (HIPAA) (مصوب 1996) ارائه می‌دهد.

این شرکت در تاریخ 25 مارس 2023 توسط یک مجرم سایبری مورد نفوذ قرار گرفت و تا شش روز بعد که یک یادداشت باج‌خواهی پیدا کرد، متوجه این حادثه نشد.

الگون حمله باج‌افزاری را در ژوئن 2023 به وزارت بهداشت و خدمات انسانی ایالات متحده گزارش داد و به این نهاد اطلاع داد که اطلاعات بیش از 31 هزار نفر در دسترس هکرها قرار گرفته است.

در این حمله، شماره‌های تأمین اجتماعی، شماره گواهینامه‌های رانندگی و اطلاعات پزشکی شامل داروها، شرایط و تشخیص‌ها افشا شد.

هیچ گروه باج‌افزاری به‌صورت عمومی و رسمی مسئولیت این حادثه را بر عهده نگرفت.

تحقیقات انجام‌شده توسط دفتر حقوق مدنی (OCR) وزارت بهداشت نشان داد که الگون از انجام تحلیل دقیق و کامل خطرات برای شناسایی تهدیدها و آسیب‌پذیری‌های احتمالی به اطلاعات محافظت‌شده الکترونیکی بهداشتی در سیستم خود بازمانده است.

علاوه بر پرداخت جریمه 80 هزار دلاری، الگون ملزم به اجرای برنامه‌ای اصلاحی برای رفع نقض‌های قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت شده است.

این شرکت باید آسیب‌پذیری‌های احتمالی در سیستم‌های اطلاعاتی خود را شناسایی کرده، برنامه مدیریت ریسک خود را به‌روزرسانی نموده، آموزش کارکنان درباره سیاست‌های قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت ارائه داده و اقدامات بیشتری نیز انجام دهد.

ملانی فونتس راینز، مدیر دفتر حقوق مدنی، عنوان کرد:

تحلیل خطرات مطابق با قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت نه‌تنها یک الزام قانونی است، بلکه یک گام اساسی در امنیت سایبری مؤثر است. بهترین دفاع در برابر حملات سایبری مانند هک و باج‌افزاری، ارزیابی خطرات و آسیب‌پذیری‌های احتمالی در اطلاعات محافظت‌شده الکترونیکی است.

در سال‌های اخیر، وزارت بهداشت و خدمات انسانی ایالات متحده اجرای قوانین امنیت سایبری در چارچوب قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت را افزایش داده است، زیرا تهدیدات باج‌افزاری در میان نهادهای بهداشتی افزایش یافته است.

این وزارتخانه اعلام کرد که باج‌افزارها به یکی از تهدیدات اصلی برای صنعت مراقبت‌های بهداشتی تبدیل شده‌اند و داده‌هایی را ارائه داد که نشان می‌دهد از سال 2018، حملات گسترده باج‌افزاری گزارش‌شده به دفتر حقوق مدنی، 264 درصد افزایش یافته‌اند.

این دومین توافقی است که دفتر حقوق مدنی به‌عنوان بخشی از ابتکار تحلیل خطرات خود به دست آورده است.

توافق اول در سال 2023 با یک شرکت دیگر در ماساچوست که در سال 2017 قربانی حمله باج‌افزاری شده بود، به مبلغ 100 هزار دلار صورت گرفت.

این ابتکار بر تطابق با قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت تمرکز دارد.

وزارت بهداشت سال گذشته یک شرکت دیگر را به دلیل نقض قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت در ارتباط با حمله باج‌افزاری، 950 هزار دلار جریمه کرد و تاکنون هشت توافق مرتبط با این نوع حملات را به دست آورده است.

پس از وقوع چندین حمله باج‌افزاری ویرانگر در سال 2024 که منجر به گمراهی آمبولانس‌ها و کاهش کیفیت مراقبت از بیماران شد، مقامات آمریکایی تغییرات احتمالی در قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت را به‌عنوان یکی از راه‌های وادار کردن بیمارستان‌ها و سازمان‌های بهداشتی به جدی گرفتن امنیت سایبری مطرح کرده‌اند.

یک مقام کاخ سفید دو هفته پیش اعلام کرد که قوانین سخت‌گیرانه‌تری برای امنیت سایبری در چارچوب قانون امنیتی قابل حمل و پاسخگویی بیمه سلامت، با هدف حفاظت از داده‌های کاربران توسط نهادهای بهداشتی، پیشنهاد خواهد شد.