Comprendere le violazioni dei dati su Ransomware e HIPAA

Il ramo americano di salute e servizi umani (HHS) caratterizza il "ransomware" come una sorta di programmazione nociva, o malware che "si sforza di negare l'accesso alle informazioni di un cliente, tipicamente codificando le informazioni con una chiave nota solo al programmatore che ha trasmesso il malware, fino al punto in cui viene pagato un pagamento Dopo che le informazioni del client sono state codificate, il ransomware guida il cliente a pagare il pagamento al programmatore tenendo presente l'obiettivo finale di ottenere una chiave di decodifica. ransomware che annulla o esfiltra informazioni, o ransomware in combinazione con altri malware. " Le organizzazioni prese di mira dal ransomware hanno orribili possibilità di recuperare le proprie informazioni illeso, a meno che non soddisfino le richieste del programmatore. È fondamentale prendere atto che il pagamento non garantisce che i clienti ottengano la chiave di decodifica o apparecchi aperti necessari per riprendere l'accesso alla struttura contaminata o ai documenti detenuti.

HHS caratterizza una rottura come "utilizzo o rivelazione non consentiti ai sensi della regola sulla privacy che contratta la sicurezza o la protezione dei dati di benessere garantiti". L'Office for Civil Rights (OCR) ha respinto la direzione del ransomware nel luglio 2016 per aiutare gli elementi protetti e le relazioni commerciali meglio vedere come mantenere il PHI sicuro in tali

assalti. Come indicato dall'OCR, ogni circostanza deve essere trattata in modo indipendente, in quanto è una "realtà particolare garanzia".

"Nel momento in cui l'elettronica ha assicurato che i dati sul benessere (ePHI) sono codificati come conseguenza di un assalto ransomware", ha affermato OCR, "una rottura è avvenuta sulla base del fatto che l'ePHI strapazzato dal ransomware è stato ottenuto (cioè, le persone non approvate hanno raccolta o controllo dei dati) e di conseguenza è una "divulgazione" non consentita ai sensi della HIPAA Privacy Rule. "

Inoltre, le associazioni dei servizi umani devono dimostrare che esiste una "bassa probabilità che il PHI sia stato negoziato", in considerazione dei fattori della regola di notifica delle violazioni.

OCR ha incluso che ogni circostanza deve essere trattata eccezionalmente se l'ePHI criptato in un assalto ransomware era codificato in quel punto, allineandosi con le indicazioni HIPAA.

L'HIPAA doveva stabilire una metodologia ed esortare l'industria dei servizi medici ad automatizzare la registrazione HIPAA delle registrazioni dei restauri del paziente quando si sono verificate rotture di informazioni.

Allo stesso modo, le associazioni di servizi medicinali dovrebbero conoscere i potenziali risultati delle rotture di informazioni HIPAA. Nel caso in cui l'OCR verifichi che l'infrazione HIPAA è stata commessa, a quel punto probabilmente incorpori multe di bilancio travolgenti come componente del successivo accordo di conciliazione con la sostanza assicurata inclusa o affare. Qualsiasi cosa, dall'assenza di una valutazione di pericolo al trascurare di aggrapparsi a parti specifiche della norma di sicurezza HIPAA, potrebbe essere una chiave decisiva per l'OCR nel disciplinare la disciplina per una pausa di informazioni sul benessere.

Classificazioni di violazioni HIPAA

Le quattro classificazioni utilizzate per la struttura di punizione sono le seguenti:

A causa di oscure violazioni, in cui il CE non poteva essere fatto valere per evitare una rottura di informazioni, potrebbe sembrare insensato che una CE venga emessa con una multa. L'OCR lo riconosce e ha l'accortezza di rinviare una punizione legata al denaro. La sanzione non può essere posticipata se l'infrazione includesse il rigido disprezzo delle Norme sulla privacy, sulla sicurezza e sulla violazione delle violazioni.

Struttura penali per violazione di HIPAA

Ogni classificazione dell'infrazione trasmette una diversa punizione HIPAA. Spetta alla prudenza dell'OCR decidere una punizione monetaria nell'intervallo corretto. L'OCR prende in considerazione varie componenti al momento di decidere le punizioni, ad esempio, il tempo assegnato a una violazione è stato permesso di sopportare, la quantità di individui influenzati e l'idea delle informazioni scoperte. Viene inoltre presa in considerazione la capacità di un'associazione di aiutare con un esame OCR.

I fattori generali che possono influenzare il livello della punizione monetaria comprendono anche la storia precedente, le condizioni di bilancio dell'associazione e il livello di danno causato dall'infrazione. Questi componenti potrebbero declinare o incrementare le punizioni relative al denaro emesse.

Le multe sono emesse per ogni classificazione di infrazione, ogni anno a cui è stata consentita la violazione della violazione. La sanzione più estrema per ogni classificazione di violazione, ogni anno, è di $ 1.500.000.

Una rottura di informazioni o un episodio di sicurezza che risulta da qualsiasi infrazione potrebbe vedere le ammende isolate emesse per varie parti della rottura sotto numerosi parametri di sicurezza e protezione. Una multa di $ 50.000 potrebbe, in linea di principio, essere emessa per qualsiasi violazione delle regole HIPAA; comunque minore.