NEDEN ÖNEMLİ
CMS, 9 Ekim’de alt yüklenicinin kurumsal sistemlerine bir gün önce fidye yazılımı tarafından saldırıldığı konusunda bilgilendirildi.
HMS, ASRC Federal Data Solutions, LLC ile bir sözleşme kapsamında Medicare lehtarı yetkilendirmesi ve CMS için prim ödeme kayıtları ile ilgili sistem hatalarını çözer, ancak Medicare iddia bilgilerini işlemez. ajansın açıklaması.
Alt yüklenici ayrıca doğrudan ödeme yapan yararlanıcı nüfustan Medicare primlerinin tahsil edilmesini de destekler.
Başlangıçta, CMS’ye Medicare yararlanıcı verilerinin dahil olmadığı bilgisi verildi, ancak 18 Ekim’e kadar ajans, 64 milyon yararlanıcısının bir kısmının veri ihlaline karıştığından emin olduğunu söyledi.
CMS, kişisel bilgileri (PII) veya korunan sağlık bilgileri siber saldırı olayı sonucunda riske atılmış olabilecek Medicare yararlanıcılarına, yeni bir Medicare Lehdar Kimliği ile güncellenmiş bir Medicare kartı alacaklarını ve ücretsiz olarak kaydolabileceklerini bildiriyor. ücretsiz kredi izleme hizmetleri.
CMS, açıklamada yer alan örnek mektupta, etkilenen Medicare yararlanıcılarının sağlayıcılara yeni Medicare numaralarını bildirmeleri gerekeceğini söylüyor.
Potansiyel olarak tehlikeye atılan veriler arasında adlar olabilir; adresler; doğum tarihleri; telefon numaraları; Sosyal Güvenlik numaraları; Medicare yararlanıcı tanımlayıcıları; yönlendirme ve hesap numaraları ve Medicare yetkilendirmesi, kayıt ve prim Bilgileri dahil olmak üzere bankacılık bilgileri.
CMS, HMS’nin yükümlülüklerini ihlal ederek hareket ettiğini yinelese de, şu anda Medicare Premium İstisna Mutabakatı ve bir dizi başka sağlık hizmeti kalite güvencesi, yasal uyumluluk ve hükümetlere operasyonel hizmet sağlayan şirketin nasıl olduğunu açıklamakta daha ileri gitmedi. ihlalde.
“Bu bir sır değil [PHI] kara borsadaki en değerli veri türüdür. bu [CMS] Güvenlik açığı ve tehdit araştırmalarından sorumlu başkan yardımcısı ve bulut yerel yama yönetimi yazılımı sağlayan Action1 Corporation’ın kurucu ortağı ve eski ortak Mike Walters’a göre, ihlal dikkate değer çünkü sektörün tedarik zinciri saldırılarına karşı ne kadar savunmasız olduğunu gösteriyor. Frisco, Teksas merkezli Netwrix’in kurucusu.
“Bu önlemlerin çoğu, sağlık hizmeti yüklenicilerinin uyması gereken HIPAA gibi uyumluluk düzenlemelerinin bir parçası olsa da, gerçekte, sağlık hizmeti sağlayıcılarının yüklenicilerin bu uygulamaları ne kadar yakından takip ettiğini kontrol etmesi ve gerektiğinde uyumluluğu zorlaması mümkün değil.” bir e-posta açıklamasında söyledi.
BÜYÜK TREND
Üçüncü taraf riskleri sağlık sektörü maliyeti 2019’a kadar yılda yaklaşık 24 milyar dolar ve büyük ölçüde risk değerlendirmelerini ve iyileştirmeyi otomatikleştirememeye bağlandı. Ancak, 2022 IBM X-Force Cost of a Data Breach Report’a göre, sağlık hizmetlerindeki ortalama ihlal maliyetleri 10 milyon doları aştı.
Bileşik rekor yüksek maliyetler kaynakları sınırlı sağlık hizmeti BT ekipleri için üçüncü taraf risk değerlendirmesinin büyük ölçüde manuel, zaman alıcı süreçleridir.
Bu ayın başlarında 2022 HIMSS Siber Güvenlik Forumu’nda Northwell Health’ten Kathy Hughes CISO’ya göre, değerlendirmeler tamamlandığında bile “zamanın anlık görüntüsü”.
Intermountain Başkan Yardımcısı ve CISO’su Erik Decker, “Bu değerlendirmeleri yüzbinlerce yaparken, gördüğümüz ve bulduğumuz yüzbinlerce soruna karışıyor, bu da yönetmeniz gereken yüzbinlerce farklı şey anlamına geliyor” dedi. Sağlık, üçüncü taraf risk yönetimi paneli sırasında.
Hughes kuruluşlara şunları tavsiye etti: üçüncü taraf siber güvenlik konusunda iğneyi hareket ettirinsatıcılarla müzakere etmeli ve standartlarına uyma taahhütleri almalı ve bunu sözleşme diline dökmelidirler.
KAYITTA
CMS Yöneticisi Chiquita Brooks-LaSure, “Yararlanıcı bilgilerinin korunması ve güvenliği bu Teşkilat için son derece önemlidir” dedi.
“Taşeronun dahil olduğu ihlalin etkisini değerlendirmeye devam ediyoruz, olaydan potansiyel olarak etkilenen bireylere destek sağlıyoruz ve CMS’ye emanet edilen bilgileri korumak için gerekli tüm önlemleri alacağız” diye ekledi.
Andrea Fox, Healthcare IT News’in kıdemli editörüdür.
E-posta: afox@himss.org
Healthcare IT News, bir HIMSS yayınıdır.