قد يشير مكتب معالجة الحقوق المدنية إلى زيادة التدقيق في هجمات برامج الفدية

في 31 أكتوبر 2023، مكتب الولايات المتحدة للصحة والخدمات الإنسانية (OCR) للحقوق المدنية أعلن شركة Doctors Management Services Inc.‎ فيما يتعلق بهجوم برنامج فدية تم الإبلاغ عنه ذاتيًا والذي حدث في عام 2017. (DMS) تم حلها مع وفقًا للبيان الصحفي لشركة OCR، فهذه هي المرة الأولى التي تصل فيها OCR إلى هذا الإنجاز. حل بعد حدوث خرق تم الإبلاغ عنه نتيجة لهجوم برامج الفدية.

ينبغي اعتبار المنظمات الخاضعة لقانون قابلية نقل التأمين الصحي والمساءلة لعام 1996، والذي تم استبداله بقانون تكنولوجيا المعلومات الصحية لعام 2009 (HIPAA)، بمثابة إشارة إلى نية التعرف الضوئي على الحروف (OCR). العمل بنشاط لمعالجة نقاط الضعف في الأمن السيبراني ومراجعة المخاطر المحتملة ومعالجتها.

السلوك المبلغ عنه والتسوية

DMS هي شركة إدارة ممارسات تعمل كشريك تجاري للشركات المغطاة. وفي أواخر عام 2018، اكتشفت شركة DMS أن المهاجمين قد أصابوا خوادم الشركة ببرنامج الفدية GandCrab، وهو نوع من برامج الفدية المشفرة التي تقفل الملفات حتى تدفع الضحية فدية. وعلى الرغم من أن المهاجم لم ينفذ برنامج الفدية حتى عام 2018، إلا أنه تمكن من الوصول إلى أنظمة DMS في أبريل 2017، وفقًا لـ DMS. أثر الانتهاك على المعلومات الصحية المحمية (PHI) لحوالي 206,695 فردًا.

وفي تحقيقها اللاحق، وجدت OCR ثلاثة مجالات رئيسية فشلت فيها DMS في تلبية المعايير التي فرضها قانون HIPAA. حكم السلامة:

1. لم تقم DMS بإجراء تحليل دقيق وكامل للمخاطر على مستوى المؤسسة لتقييم المخاطر الفنية والمادية والبيئية المرتبطة بالتعامل مع المعلومات الصحية المحمية (PHI) الإلكترونية.
2. لا ينفذ نظام إدارة البيانات إجراءات لمراجعة سجلات نشاط نظام المعلومات بشكل منتظم، مثل سجلات التدقيق وتقارير الوصول وتقارير مراقبة الحوادث الأمنية.
3. لا تقوم TMS بتنفيذ السياسات والإجراءات المناسبة وفقًا للمعايير ومواصفات التنفيذ التي تتطلبها القاعدة الأمنية.

وكجزء من التسوية، وافقت TMS على دفع 100000 دولار دون الاعتراف بالمسؤولية والالتزام بخطة العمل التصحيحية (CAP).

خطة العمل التصحيحية

على مدى السنوات الثلاث المقبلة، سيطلب OCR من DMS تنفيذ عدد من الإجراءات التصحيحية، بما في ذلك بدء تحليل شامل للمخاطر الأمنية. تطلب CAP من DMS تحديث جميع مرافقها ومعداتها وأنظمتها – أي شيء يحتوي على معلومات صحية محمية إلكترونية – وتحليل المخاطر الخاصة بها. يجب على DMS تحديث خطة إدارة المخاطر الخاصة بها لمعالجة المخاطر الأمنية التي تم تحديدها بعد تحليل المخاطر، والتي يجب أن يوافق عليها OCR.

تطلب CAP من DMS تحديث سياساتها وإجراءاتها لتتوافق مع معايير السلامة الفيدرالية. كحد أدنى، يجب على DMS مراجعة سياساته وإجراءاته لتشمل مراجعة تشغيلية لنظام المعلومات تكون كافية لمراجعة الوصول إلى الأجهزة المحلية والتأكد من تحديث جدار الحماية الخارجي الخاص بـ DMS. يتطلب CAP من DMS تنفيذ إجراءات الوعي والتدريب الأمني. تلتزم DMS بتقديم تقارير منتظمة إلى OCR عندما تقوم بتدريب موظفيها، وقد تفرض OCR أيضًا عقوبات مالية مدنية إذا انتهكت DMS سياسة CAP.

التأثيرات

نظرًا لأن شهر أكتوبر هو شهر التوعية بالأمن السيبراني، يشير التعرف الضوئي على الحروف (OCR) إلى ضرورة محاسبة الشركات وشركاء الأعمال المسؤولين عن انتهاكات برامج الفدية. . وفي بيانها الصحفي، أبلغت OCR عن زيادة بنسبة 278% في هجمات برامج الفدية على مدى السنوات الأربع الماضية، وزيادة بنسبة 239% في خروقات البيانات. في عام 2023، كانت القرصنة مسؤولة عن 77% من الانتهاكات الرئيسية التي تم الإبلاغ عنها إلى OCR، منذ بداية العام حتى الآن. وأثرت هذه الخروقات على نحو 88 مليون شخص، أي بزيادة قدرها 60% عن العام الماضي.

يجب أن يكون لدى جميع المؤسسات وشركاء الأعمال الخاضعين لقانون HIPAA إجراءات أمنية مناسبة لمنع هجمات برامج الفدية. يتضمن ذلك إجراء تحليل مفصل للمخاطر لتحديد نقاط الضعف المحتملة وتنفيذ التدابير اللازمة لمعالجة نقاط الضعف هذه. في حالة وقوع هجوم ببرامج الفدية، يجب على الكيانات المشمولة وشركاء الأعمال التأكد من أن سياسات وإجراءات HIPAA الخاصة بهم متوافقة تمامًا لضمان عدم اكتشاف OCR أن سياسات وإجراءات HIPAA غير المتوافقة تمثل مشكلة في أي تحقيق لاحق.