Tennessee 健康數據管理公司支付 230 萬美元和解金，平息數據泄露事件

Tennessee firm一家提供健康數據管理服務的公司同意向美國民權辦公室(OCR)支付230萬美元，以了結與數據泄露有關的指控。

在數百萬人的個人健康信息（PHI）最終落入網絡罪犯手中之后，美國28個州對總部位于Tennessee-based Community Health Systems（CHSPSC LLC）進行了指控。

2014年4月，美國聯邦調查局(FBI)通知CHSPSC，中國先進的持續威脅組織APT18已獲得公司信息系統的訪問權限，并正在滲透PHI。盡管發出了通知，但黑客仍繼續訪問并泄露了PHI，直到2014年8月。

CHSPSC向田納西州富蘭克林市的Community Health Systems，Inc.間接擁有的醫院和診所提供各種業務關聯服務，包括IT和健康信息管理。數據泄露時，Community Health Systems擁有，租用或運營206家附屬醫院。

CHSPSC的網絡攻擊影響了總共6,121,158個人。威脅小組訪問的數據包括姓名，生日，社會保險號，電話號碼和患者地址。

威脅組使用受損的管理憑據遠程訪問CHSPSC的信息系統，以進入公司的虛擬專用網絡。

OCR對事件進行的調查發現，長期以來系統性地違反了HIPAA安全規則，其中包括未能實施信息系統活動審查，安全事件程序和訪問控制，以及未能進行風險分析。

“醫療保健行業是黑客和網絡竊賊的已知目標。OCR主管羅杰·塞韋里諾（Roger Severino）表示，未能實施HIPAA規則要求的安全保護，尤其是在FBI通知其可能違反安全規則后，是無法原諒的。

昨天，田納西州總檢察長赫伯特·斯萊特里三世，與總檢察長的其他27個國家一起，宣布與社區衛生系統及其子公司CHSPSC LLC達成和解。作為判決的一部分，CHS已同意向各州支付500萬美元。

除金錢結算外，CHSPSC還同意通過實施和維護可靠的安全程序來保護患者數據。