返回顶部

胡乱安装服务器,导致数据泄漏,结果被罚214万美元

[复制链接]
简简单单Lv.3 显示全部楼层 发表于 2016-12-29 20:45:37 |阅读模式 打印 上一主题 下一主题

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
一家天主教医疗集团已同意支付214万美元,以平息索赔请求。起因是该医疗集团在安装新服务器后,没有更改默认设置,任由公众可以访问31800名患者的私人健康记录。

连锁反应:胡乱安装服务器,导致数据泄漏,结果被罚214万美元

圣约瑟夫医疗集团(St. Joseph Health)经营多家医院、社区诊所和护理设施,并提供一系列其他医疗保健服务。它自己也认为,这可能违反了《健康保险可携性及责任法案》(HIPAA)的安全规则。

圣约瑟夫医疗集团报告,含有受保护的电子健康信息的文件在整个前一年被公众通过谷歌浏览器及其他浏览器访问后,美国卫生及公众服务部下设的民权办公室(OCR)在2012年2月14日展开了调查。

民权办公室在10月17日宣布此案了解的声明中表示:“为存储文件而购置的服务器SJH含有一个文件共享应用软件,该应用软件的默认设置让任何能连接互联网的人都可以访问这些文件。

声明继续声称:“实施这台服务器和文件共享应用软件后,SJH没有检查或修改默认设置。因而,公众可以随意访问含有31800名患者电子私人健康信息(ePHPI)的PDF文档,而这些信息包括患者姓名、健康状况、诊断结果和人口统计信息。”

联邦调查人员认为,这家医疗保健非营利组织没有对安装新服务器在环境和操作方面带来的影响进行全面评估。

此外,圣约瑟夫医疗集团临时从外面请来了多家承包商,可是没有系统性地评估ePHI的风险和安全漏洞,并没有按照HIPAA要求的那样对整个企业进行一番风险分析。

民权办公室主任乔斯琳·塞缪尔斯(Jocelyn Samuels)在声明中说:“相关机构不仅要进行全面的风险分析,在实施影响ePHI的企业变更时,还要评估和解决潜在的安全风险。HIPAA安全规则在应对环境和操作变化方面有着特定要求,它们对于保护患者信息起到了至关重要的作用。”

除了赔付款项外,圣约瑟夫医疗集团还同意采取一项纠正行动计划,包括彻底分析风险、实施风险管理计划和员工培训。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

云萌主 云萌主-BIGSAAS旗下,由北京合智互联信息技术有限公司在2018年创立,为广大云应用技术爱好者的平台。在云萌主论坛可以查看云应用技术文章、云产品产品最新资讯、技术问答、技术视频。在畅游云上技术的同时,学到最新的云应用产品和技术。
  • 微信公众号

  • Powered by Discuz! X3.4 | Licensed | Copyright © 2001-2022, Aliyun Cloud. | 星点互联设计
  • 京ICP备18052714号 | 营业执照 | |合智互联| QQ