HIPAA OCR Enforcement 2024: 725 нарушения...

Службата за граждански права на HHS (OCR) съобщи за 725 нарушения на здравни данни през 2024 г., засягащи 275 милиона досиета на пациенти – най-големият брой, регистриран някога за една година. Средната цена на нарушение на системата за здравеопазване достигна 10,22 милиона долара през 2025 г. (IBM Цена на доклад за нарушение на данните), водена от HIPAA граждански парични санкции, съдебни разходи, уведомяване на пациенти, кредитен мониторинг и увреждане на репутацията.

За субектите и бизнес партньорите, обхванати от здравеопазването в САЩ, 2025 г. представлява ключова година за съответствие: предложената актуализация на правилото за сигурност HIPAA (март 2025 г.) ще създаде най-значимите технически изисквания на HIPAA, откакто първоначалното правило за сигурност беше финализирано през 2003 г.

725 Нарушения: Какво се обърка през 2024 г

Данните от портала за нарушения на OCR разкриват категориите грешки, водещи до рекордния обем на нарушения за 2024 г.:

Хакерски/ИТ инциденти: 74% от докладваните нарушения — доминиращата категория. Компромети на мрежови сървъри, рансъмуер и компрометиране на бизнес имейли представляват мнозинството. Промяната е структурна: атакуващите са преминали от насочване към отделни работни станции към атаки на мрежово ниво, които компрометират цели системи на EHR, извличайки милиони записи едновременно.

Неоторизиран достъп/разкриване: 18% от нарушенията. Включва вътрешни заплахи, неправилно конфигурирани контроли за достъп, излагащи данните на пациента на неоторизиран персонал и случайно разкриване на грешни получатели.

Инциденти с трети страни/бизнес партньори: Все по-значими — 35% от 2024 нарушения произхождат от бизнес партньори, а не от обхванати субекти. Само Change Healthcare (дъщерно дружество на UnitedHealth Group) засегна 190+ милиона пациенти — най-голямото нарушение на здравните данни в САЩ в историята.

Кражба/загуба на преносим носител: 8% от нарушенията. Лаптопи, USB устройства и хартиени записи са откраднати или изгубени без защита с криптиране.

18-те PHI идентификатора: HIPAA Стандарт за безопасно пристанище

Методът за деидентификация Safe Harbor на HIPAA (45 CFR §164.514(b)) изисква премахване на всички 18 посочени PHI идентификатора. Повечето обхванати субекти и бизнес партньори са концептуално запознати със списъка, но предизвикателството при откриването е техническо:

1. Имена: Всички имена на пациенти, членове на семейството, работодатели
2. Географски данни: Всички подразделения, по-малки от държавата (адрес, град, окръг, район, пощенски код, първите 3 цифри, ако населението е <20 000)
3. Дати: Всички дати, пряко свързани с пациента (раждане, прием, изписване, смърт), различни от годината
4. Телефонни номера: Всички телефонни номера
5. Факс номера: Всички номера на факс
6. Имейл адреси: Всички имейл адреси
7. Номера на социалното осигуряване: Всички SSN
8. Номера на медицински досиета: Всички MRN формати (варират в зависимост от EHR системата)
9. Номера на бенефициенти по здравни планове: Всички идентификационни номера на застрахователни членове
10. Номера на сметки: Всички номера на финансови сметки
11. Номера на сертификати/лицензи: Медицински лиценз, регистрация на DEA, номера на държавни лицензи
12. Идентификатори на превозни средства: VIN, регистрационни номера
13. Идентификатори на устройства: Серийни номера, уникални идентификатори на устройства
14. Уеб URL адреси: Всички уеб адреси
15. IP адреси: Всички IP адреси
16. Биометрични идентификатори: Пръстови и гласови отпечатъци
17. Снимки в цялото лице и сравними изображения
18. Всеки друг уникален идентификационен номер, код или характеристика

18-ият идентификатор — „всеки друг уникален идентификационен номер“ — е най-предизвикателното изискване за откриване. Това означава, че всеки специфичен за базата данни идентификатор, който би могъл да свърже записите обратно към конкретен пациент, трябва да бъде открит и премахнат, дори ако не отговаря на предварително дефиниран модел.

Предложена HIPAA актуализация на правилата за сигурност: Какво се променя през 2025-2026 г.

Предложената актуализация на правилата за сигурност HIPAA, публикувана през март 2025 г., ще изисква:

Годишни одити на криптиране: Обхванатите субекти трябва да провеждат годишни технически одити, за да проверят дали всички PHI в покой са криптирани с AES-256 или еквивалент и че управлението на ключовете за криптиране отговаря на документираните стандарти.

Документирани процедури за деидентификация: За всяко PHI, използвано в изследвания, подобряване на качеството, обучение с изкуствен интелект или анализи, обхванатите субекти трябва да поддържат документирани процедури, демонстриращи как се постига деидентификация — не само декларация за политика, а техническа документация с доказателства за валидиране.

**Изисквания за сигурност на бизнес сътрудниците: ** Бизнес сътрудниците вече трябва да отговарят на специфични технически изисквания за сигурност (по-рано делегирани на споразумения за бизнес сътрудници без техническа спецификация). Техническите оценки на BA стават задължителни преди влизане.

Многофакторно удостоверяване: Всички членове на работната сила с електронен PHI достъп трябва да използват MFA. Няма изключения за „наследени системи“ — предложеното правило изисква MFA независимо от възрастта на системата.

Тестване за реагиране при инциденти: Годишни настолни учения и техническо тестване на процедурите за реагиране при инциденти. Доказателствата за тестване трябва да се пазят.

Урокът за промяна на здравеопазването

Пробивът в Change Healthcare (февруари 2024 г.) — засягащ над 190 милиона американци — илюстрира системния риск от взаимосвързаната инфраструктура на здравеопазването. Change Healthcare обработва 15 милиарда здравни транзакции годишно като клирингова къща между доставчици, платци и аптеки.

Пробивът започна с идентификационни данни за отдалечен достъп на Citrix без MFA защита. Веднъж влезли вътре, нападателите се придвижват странично през мрежата на Change Healthcare в продължение на 9 дни, преди да внедрят рансъмуер.

Системният урок: всеки бизнес партньор с мрежов достъп до данни за здравни транзакции представлява системен риск за цялата здравна екосистема, която свързва. Рамката за бизнес партньори на HIPAA не е предназначена за доставчици на системна инфраструктура с достъп до една трета от всички транзакции в здравеопазването в САЩ.

За обхванати субекти и бизнес партньори: нарушението на Change Healthcare директно информира изискванията на предложеното правило за сигурност на HIPAA за мрежово сегментиране, MFA и технически оценки на бизнес партньори.

Източници:

• [HHS OCR: HIPAA Портал за пробив] (https://www.hhs.gov/hipaa/for-professionals/breach-notification/breach-reporting/index.html)
• IBM: Цена на доклад за нарушение на данните за 2025 г.
• [HHS: Предложена актуализация на правилата за сигурност HIPAA март 2025 г.] (https://www.hhs.gov/hipaa/)