云萌主云应用官方论坛

标题: 胡乱安装服务器，导致数据泄漏,结果被罚214万美元 [打印本页]

作者: 简简单单 时间: 2016-12-29 20:45
标题: 胡乱安装服务器，导致数据泄漏,结果被罚214万美元
一家天主教医疗集团已同意支付214万美元，以平息索赔请求。起因是该医疗集团在安装新服务器后，没有更改默认设置，任由公众可以访问31800名患者的私人健康记录。

连锁反应：胡乱安装服务器，导致数据泄漏，结果被罚214万美元

圣约瑟夫医疗集团（St. Joseph Health）经营多家医院、社区诊所和护理设施，并提供一系列其他医疗保健服务。它自己也认为，这可能违反了《健康保险可携性及责任法案》（HIPAA）的安全规则。

圣约瑟夫医疗集团报告，含有受保护的电子健康信息的文件在整个前一年被公众通过谷歌浏览器及其他浏览器访问后，美国卫生及公众服务部下设的民权办公室（OCR）在2012年2月14日展开了调查。

民权办公室在10月17日宣布此案了解的声明中表示：“为存储文件而购置的服务器SJH含有一个文件共享应用软件，该应用软件的默认设置让任何能连接互联网的人都可以访问这些文件。

声明继续声称：“实施这台服务器和文件共享应用软件后，SJH没有检查或修改默认设置。因而，公众可以随意访问含有31800名患者电子私人健康信息（ePHPI）的PDF文档，而这些信息包括患者姓名、健康状况、诊断结果和人口统计信息。”

联邦调查人员认为，这家医疗保健非营利组织没有对安装新服务器在环境和操作方面带来的影响进行全面评估。

此外，圣约瑟夫医疗集团临时从外面请来了多家承包商，可是没有系统性地评估ePHI的风险和安全漏洞，并没有按照HIPAA要求的那样对整个企业进行一番风险分析。

民权办公室主任乔斯琳·塞缪尔斯（Jocelyn Samuels）在声明中说：“相关机构不仅要进行全面的风险分析，在实施影响ePHI的企业变更时，还要评估和解决潜在的安全风险。HIPAA安全规则在应对环境和操作变化方面有着特定要求，它们对于保护患者信息起到了至关重要的作用。”

除了赔付款项外，圣约瑟夫医疗集团还同意采取一项纠正行动计划，包括彻底分析风险、实施风险管理计划和员工培训。

欢迎光临云萌主云应用官方论坛 (https://www.yunmengzhu.com/)