無料でFAXを使う方法

FAXの使い方を指南するブログ

不正アクセスへの対策

米国で2番目に大きい健康保険プロバイダーであるAnthemは、ITシステムへの攻撃により約7,900万件の医療記録の大規模な侵害が発生したため、1,600万ドルの和解金を支払うことに合意しました。

支払いは、2016年にアドボケイトヘルスケアネットワークによって保健福祉省(HHS)の公民権局(OCR)に支払われた過去最高の550万ドルの3倍以上であり、Anthemの事件が最大のヘルスケアハッキングインシデントになっています。政府がHIPAA(1996年の医療保険の相互運用性と説明責任に関する法律)のプライバシーとセキュリティの規則の違反に対して罰金を課し始めて以来。

罰金の費用は、2015年のデータ侵害による最新の影響です。 Anthemは以前に、約1億1500万ドルの消費者に1億1500万ドルを支払うことにより、無料の信用監視と個人情報盗難防止サービスとともに集団訴訟を解決することに同意していました。


違反


Anthemが提出した違反レポートによると、Anthemは、12以上の州でBlue Cross / Blue Shield計画を含む複数の組織のビジネスアソシエイトとして機能し、2015年3月に違反レポートを提出し、ITシステムがハッカーが電子的に保護された健康情報(ePHI)に不正アクセスした標的型サイバー攻撃の対象となります。 2015年1月、Anthemが侵害を発見しました。しかし、攻撃者は、何週間も前にデータを収集していたAnthemのデータウェアハウスにアクセスしていました。

さらなる調査により、ハッカースピアフィッシングと呼ばれる一般的なサイバー攻撃手法を使用して、Anthemのデータにアクセスしたことが判明しました。内部関係者からの合法的な通信のように見えるように設計された電子メールは、パスワードやユーザー名などのアクセス情報を共有するように騙そうとして、Anthemの従業員とその関連会社に送信されました。少なくとも1人の従業員がフィッシングメールを悪意のあるものとして認識せず、ハッカーが名前、社会保障番号、生年月日、雇用情報、医療IDを含む約7,900万人のePHIへのアクセスを無意識のうちに許可しました。


FRB-不十分な防御


5つの州(カリフォルニア州メイン州ミズーリ州ニューハンプシャー州ノースダコタ州サウスカロライナ州)に対する一連の保険規制当局による以前の調査は、行政罰金または罰金は正当化されないと結論付けたにもかかわらず、HHSはAnthemの多くの弱点を発見しましたサイバー防御の取り組み:

全社的なリスク分析は行われていません。
これは、HIPAA規制の下で必要です。 45 C.F.R.を参照§164.308(a)(1)(ii)(A)–「電子的に保護された健康情報の機密性、完全性、可用性に対する潜在的なリスクと脆弱性を正確かつ徹底的に評価する…」セキュリティリスク評価(SRA)は、少なくとも年に1回、またはシステムに大幅な変更が加えられるたびに実行する必要があります。ハッカーが弱点を悪用する前に、リスクと脆弱性を特定しているはずです。
上記の「企業全体」に重点を置いていることに注意してください。OCRは過去に、組織全体を網羅するレベルではなく、個々の部門内でリスク分析を実行するために罰金を科された企業を抱えていました。
疑わしい、または既知のセキュリティインシデントを特定して対応できない。
45 C.F.R.で説明されているこの違反につながるセキュリティインシデントの検出を特定して対応するための要件§164.308(a)(6)(ii)。
ITシステムのアクティビティを監視する手順は不規則で不十分でした。
定期的な監査の必要性は、C.F.R。 §164.308(a)(1)(ii)(D)。監査メカニズムが導入されたら、「監査ログ、アクセスレポート、セキュリティインシデントレポートなどのシステムアクティビティの記録を定期的に確認する」ための手順を実装する必要があります。特に、ヘルスケア組織は、ePHIへの不正アクセスの可能性を見つけるために、情報システムアクティビティのログを定期的に確認して、誰がどのシステムにいつどこからログインしているかを確認する必要があります。
2014年2月までさかのぼって侵入を阻止するために、「適切な最小限のアクセス制御」を実装する試みはありませんでした。
§164.308(a)(4)(45 C.F.R.。164.312(a)も参照)で指定されているアクセス権が付与されている個人またはソフトウェアプログラムへのアクセスのみを許可することは、医療提供者の義務です。企業は、情報システムへのアクセスを許可された個人が、特定の仕事を行うために必要な情報へのアクセスのみを許可され、保護された医療情報(PHI)を含む可能性がある情報システムの他の領域にアクセスできないことを確認する必要があります。
そして最後に、OCRは、情報が保持されている78,800,000人の個人のPHIへの不正アクセスを防止する義務を果たさなかったと述べました