چرا سوابق سلامت برای مجرمان سایبری بسیار ارزشمند است؟

چرا سوابق سلامت برای مجرمان سایبری بسیار ارزشمند است؟

چرا سوابق سلامت برای مجرمان سایبری بسیار ارزشمند است؟

حفاظت از داده‌های پرونده الکترونیک سلامت با ظهور HIPAA آغاز نشد – سلامت قانون قابل حمل و پاسخگویی بیمه 1996 – همانطور که بسیاری از مردم فکر می کنند. حفاظت از سوابق بهداشتی از زمانی که کامپیوترها در بیمارستان ها تبدیل به یک ابزار ثابت شدند، یک نیاز حیاتی در فضای مراقبت های بهداشتی بوده است. با این حال، HIPAA گزارش‌های عمومی از جریمه‌های صادر شده برای شکست نهادهای تحت پوشش در حفاظت صحیح از داده‌های موجود در EHR را اضافه کرد.

بسیاری از مردم تصور می کنند که داده های EHR برای کاربران غیرمجاز ارزش محدودی دارد. (چه کسی به نتایج آزمایش خون من اهمیت می دهد، یا اینکه من به تازگی به متخصص پوست مراجعه کردم؟) درک ارزش آنها بسیار ساده است. علاوه بر اطلاعات سلامت شخصی یا PHI، EHR ها حاوی شماره های تامین اجتماعی هستند که هرگز منقضی نمی شوند – و استفاده مجرمانه سایبری از SSN ها به راحتی قابل شناسایی نیست.

بدون تاریخ انقضا

طبق یک Trend Micro مطالعه ماه گذشته منتشر شد.

“… یک پایگاه داده EHR حاوی PII که منقضی نمی شود – مانند شماره های تامین اجتماعی – می تواند چندین بار برای اهداف مخرب استفاده شود.” EHR سرقت شده را می توان برای تهیه داروهای نسخه ای، دریافت مراقبت های پزشکی، جعل ادعاهای بیمه، ارائه اظهارنامه های مالیاتی تقلبی، باز کردن حساب های اعتباری، دریافت اسناد رسمی صادر شده توسط دولت مانند گذرنامه [و] گواهینامه رانندگی و حتی ایجاد هویت های جدید استفاده کرد.

یک آمار مهم دیگر که به توضیح اینکه چرا مجرمان سایبری به داده های EHR جذب می شوند کمک می کند این است که 91 درصد از جمعیت ایالات متحده بیمه سلامت دارند. بنابر گزارش Trend Micro، پس جای تعجب نیست که 113.2 میلیون پرونده مربوط به مراقبت های بهداشتی در سال 2015 به سرقت رفته است.

در مورد قوانین فدرال چطور؟

همه به یاد دارند که قبل از مراجعه به پزشک، ده ها سند را امضا کرده بودند. اگر بخواهید هر سند را بخوانید، متوجه می‌شوید که با اجازه حفاظت از اطلاعات سلامت شخصی خود موافقت کرده‌اید. وزارت بهداشت و خدمات انسانی ایالات متحده مسئول نظارت بر HIPAA است.

بر اساس HIPAA، همه نهادهای تحت پوشش باید از PHI به روش‌های بسیار خاصی محافظت کنند. ارائه دهندگان مراقبت های بهداشتی که نهادهای تحت پوشش هستند شامل پزشکان، کلینیک ها، روانشناسان، دندانپزشکان، متخصصان کایروپراکتیک، خانه های سالمندان و داروخانه ها می شوند – اما تنها در صورتی که اطلاعاتی را به شکل الکترونیکی در ارتباط با تراکنشی که HHS برای آن استانداردی اتخاذ کرده است، منتقل کنند.

هزاران نهاد تحت پوشش وجود دارد، از جمله پزشکان انفرادی، روانشناسان، دندانپزشکان، و کایروپراکترها، که همگی وظیفه دارند از PHI محافظت کنند – اما پزشکان کوچکی که نمی توانند به درستی از عهده زیرساخت فناوری اطلاعات برآیند چگونه از PHI محافظت می کنند؟

شرکت‌های تحت پوشش کوچک، شرکتی را برای کمک استخدام می‌کنند که HIPAA از آن به عنوان «همکار تجاری» یاد می‌کند. بر اساس HIPAA، هر شریک تجاری باید برای محافظت از PHI قراردادی را با نهاد تحت پوشش امضا کند، که به درستی “قرارداد همکاری تجاری” یا BAA نامیده می شود.

طبق قانون حفظ حریم خصوصی HIPAA، یک BAA «به ارائه‌دهندگان تحت پوشش و برنامه‌های بهداشتی اجازه می‌دهد تا اطلاعات بهداشتی محافظت‌شده را در اختیار این «همکاران تجاری» قرار دهند، در صورتی که ارائه‌دهندگان یا برنامه‌ها تضمین رضایت‌بخشی به دست آورند مبنی بر اینکه شریک تجاری از اطلاعات فقط برای اهداف استفاده خواهد کرد. که توسط نهاد تحت پوشش درگیر شده است، از اطلاعات در برابر سوء استفاده محافظت می کند و به نهاد تحت پوشش کمک می کند تا از برخی از وظایف نهاد تحت پوشش تحت قانون حفظ حریم خصوصی پیروی کند.”

HHS نمونه BAA که مسئولیت بالقوه شریک تجاری تحت HIPAA را توضیح می دهد: “یک شریک تجاری تحت قوانین HIPAA مستقیماً مسئول است و مشمول مجازات های مدنی و در برخی موارد کیفری برای استفاده و افشای اطلاعات بهداشتی محافظت شده که توسط قرارداد آن مجاز یا توسط قانون الزامی نشده است. یک شریک تجاری نیز مستقیماً مسئول و مشمول جریمه‌های مدنی برای عدم حفاظت از اطلاعات سلامت الکترونیکی محافظت شده مطابق با قانون امنیتی HIPAA است.» با توجه به مسئولیت احتمالی، همه نهادهای تحت پوشش و شرکای تجاری تلاش‌های فوق‌العاده‌ای برای محافظت از PHI و EHR انجام می‌دهند. /p>

چه کسی از EHR ها محافظت می کند؟

دفتر حقوق مدنی HHS (OCR) شکایات مربوط به حقوق مدنی، حریم خصوصی اطلاعات بهداشتی و محرمانه بودن ایمنی بیمار را برای شناسایی تبعیض یا نقض قانون و اقدام برای اصلاح مشکلات بررسی می‌کند.

OCR غالباً نهادهای تحت پوشش را گزارش می‌کند که از PHI به درستی محافظت نمی‌کنند، و آن نهادها بر این اساس جریمه می‌شوند.

تعدادی از ایالت‌ها، از جمله تگزاس، نیویورک و اوهایو، قوانین خود را برای محافظت از PHI ایجاد کرده‌اند. تگزاس در سال 2011 لایحه 300 مجلس نمایندگان را تصویب کرد، که “الزامات سختگیرانه تری را در مورد حفظ حریم خصوصی سلامت بیمار نسبت به موارد مورد نیاز HIPAA قرار می دهد و همچنین تعریف نهادهای تحت پوشش را گسترش می دهد تا شامل آنهایی شود که در اختیار دارند، به دست می آورند، جمع آوری می کنند، جمع آوری می کنند، تجزیه و تحلیل می کنند، ارزیابی می کنند، ذخیره می کنند. ، یا اطلاعات بهداشتی محافظت شده را منتقل کنید.”

با توجه به ارزش بلندمدت بسیار زیاد آنها، مجرمان سایبری احتمالاً برای سال‌های آینده پایگاه‌های داده PHI و EHR را مورد هدف قرار خواهند داد، بنابراین بر همه نهادهای تحت پوشش و شرکای تجاری موظف است که ایمنی این اطلاعات را در اولویت قرار دهند و هر کاری که ممکن است انجام دهند. برای محافظت از پایگاه داده های PHI و EHR خود.

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *