HHS OCR.

勒索软件是一个通知的数据违约事件吗?

毫无疑问,公司在其网络上面临前所未有的血统和侵入式网络攻击的体积和变化。在今天的不同攻击方法中,赎金软件迅速成为Cisos和安全专业人士的主要关注点。根据来自美国政府的际际指导,目前有超过4,000个日期赎金软件攻击 - 从2015年经验丰富的每日赎金软件攻击超过300%。

赎金软件可能持有人质关键企业,客户和员工数据,但内部法律和通信团队也关注这些攻击是否触发了通知规则。民权卫生和人力服务办公室(“HHS OCR”),强制执行HIPAA安全和违反通知规则,最近发布了指导赎金软件事件可能被视为需要通知的违规行为。这一指导是对所有公司的巨大提醒,无论是由HIPAA监管,还要仔细考虑如何发展攻击方法如何直接暗示事件响应策略和合规义务。

阅读更多

CFPB跳入网络执法池中

金融机构

在2016年3月2日的预期举动中,消费者金融保护局(CFPB)通过对DWolla,Inc。的第一次执法行动进入Cyber​​security Foray,该行动是在线支付处理初创公司的第一个执法行动。根据其权限根据部门1031(a)1036(a)(1)在2010年的消费金融保护法案中,CFPB罚款DWolla $ 10,000并获得了五年同意令对管理层和董事会施加严格的要求。这项CFPB执法行动对某些金融服务实体的“合理网络安全”的轮廓提供了重要的见解,以及进行网络安全风险评估的重要课程。这些问题与我们最近在网络安全竞技场中报告过的重要活动的燕尾证券交易委员会(秒),金融行业监管机构(芬兰),联邦贸易委员会(FTC),民权卫生与人类服务部(HHS-OCR),以及一系列其他国家和联邦监管机构。

阅读更多

不要等待它;最近的HIPAA执法行动符合2阶段审计

HIPAA法规

美国卫生和人类服务部的官员公民部(HHS OCR)最近选择了一位供应商来开展第二波HIPAA审计。这些所谓的“第2阶段审计”被设定为开始对违反HIPAA安全规则的两个重要HHS OCR执法诉讼的脚跟:

  • St. Elizabeth’s Medical Center, a tertiary care hospital in Massachusetts, allegedly failed to conduct a risk assessment before its employees used a cloud document-sharing application and failed to respond to a security incident in a timely manner, leading to a $218,400 fine and Corrective Action Plan (CAP). Orrick reported on this case in a previous警报
  • 癌症护理小组(CCG)是该国最大的私有辐射肿瘤学团体之一,最近签署了一个$ 750,000定居点和帽子源于盗窃PHI,属于约55,000名患者储存在被盗笔记本电脑和未加密的备份媒体上。根据OCR的说法,调查发现,在安全事件之前,CCG未能进行企业范围的风险评估,并且未能实施策略从公司设施中删除含有EPHI的未加密设备 - OCR被确定为关键的两个问题促进数据泄露的因素。CAP要求CCG对其处理EPHI进行风险分析,以制定和实施解决某些已确定的风险的风险缓解计划,并审查和更新安全政策,程序和员工培训。

阅读更多

来自质量的3个课程。医院的HIPAA定居点

上个月,美国卫生和人际关系办公室宣布,它曾与马萨诸塞州布莱顿的圣伊丽莎白的医疗中心(SEMC)签订了与圣伊丽莎白的医疗中心的和解协议。根据非冒犯解决,SEMC同意支付218,400美元,并进入一年的纠正措施计划(CAP),以解决其雇员在云文件中储存电子保护的健康信息的雇员违反了HIPAA安全规则的指控-sharing应用程序。

阅读更多