Le HHS examine les pratiques de cybersécurité : ©Billionphotos – stock.adobe.com

Une clinique de santé comportementale a été condamnée à une amende de 40 000 $ pour des pratiques présumées laxistes en matière de cybersécurité à la suite d’une attaque de ransomware.

Le Bureau des droits civils du ministère américain de la Santé et des Services sociaux a imposé une amende de 40 000 $ à Green Ridge Behavioral Health, un fournisseur de services de santé psychiatrique basé dans le Maryland, pour violation de la HIPAA dans le cadre d’une attaque contre une rançon survenue en 2019.

L’attaque contre la rançon visait les systèmes de Green Ridge, chiffrant les dossiers de santé d’environ 14 000 patients. Malgré la décision de l’entreprise de ne pas payer la rançon et de restaurer avec succès ses systèmes à partir de sauvegardes, une enquête menée par la HIPAA a révélé un non-respect important de la réglementation, selon le HHS.

Il a été constaté que Green Ridge Behavioral Health avait négligé de procéder à une analyse précise et approfondie des risques et vulnérabilités potentiels liés aux informations électroniques protégées sur la santé. De plus, l’entreprise n’a pas mis en œuvre de mesures de sécurité adéquates pour atténuer les risques et n’a pas suffisamment surveillé l’activité de ses systèmes d’information sur la santé pour se protéger contre les cyberattaques.

Dans le cadre des conditions du règlement, le HHS a exigé plusieurs mesures correctives pour Green Ridge, notamment une analyse complète des risques et vulnérabilités potentiels, l’élaboration d’un plan de gestion des risques, ainsi qu’un examen et une révision des politiques et procédures écrites pour s’aligner sur les règles HIPAA. Une formation du personnel sur les politiques HIPAA, un audit des accords avec des tiers et un mécanisme de signalement en cas de non-conformité HIPAA ont également été stipulés.

Il s’agit du deuxième cas où l’OCR inflige une amende à une entreprise réglementée par la HIPAA pour des violations identifiées lors d’une enquête sur un ransomware, soulignant la surveillance et l’application croissantes des normes de cybersécurité dans le secteur de la santé.

Steve Hahn, vice-président exécutif de la société de cybersécurité BullWall, a souligné la nature critique de la cybersécurité dans le secteur des soins de santé, déclarant : « Les attaques de ransomware contre les prestataires de services médicaux sont devenues une menace sérieuse pour la santé et la sécurité publiques. fourniture de services médicaux essentiels, mais compromettent également la sécurité des informations sensibles des patients.

Hahn a en outre souligné la vulnérabilité unique des organisations de soins de santé, déclarant : « Les hôpitaux et les organisations de soins de santé sont des cibles particulièrement attrayantes pour les cybercriminels, et leur dépendance à l’égard de la technologie les rend particulièrement vulnérables. Il est très encourageant de voir l’OCR imposer le respect d’une « meilleure » cybersécurité. approche pratique pour les prestataires.

Mark B. Cooper, président et fondateur de PKI Solutions, a souligné l’importance de l’amende en tant que sonnette d’alarme pour les équipes de sécurité des prestataires de services de santé. Il a préconisé une évolution vers une surveillance et une visibilité proactives, soulignant que les dossiers médicaux sont plus précieux pour les pirates que les numéros de carte de crédit ou les numéros de sécurité sociale.

« Le fait que ce soit seulement la deuxième fois que l’OCR inflige une amende à une entreprise HIPAA pour violation après une cyberattaque devrait être un signal d’alarme pour les équipes de sécurité de chaque prestataire de services de santé », a averti Cooper. « Investissez dès maintenant dans une surveillance et une visibilité proactives ou payez plus tard. »