Como a Excellus poderia ter evitado a multa por violação da HIPAA de US$5,1 milhões

Em janeiro de 2021, uma seguradora de saúde americana chamada Excellus concordou em pagar mais de US$5,1 milhões ao Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA em um acordo após violar a Portabilidade de Seguro Saúde e Lei de Responsabilidade (HIPAA).

Violação de dados Excellus

A violação em questão refere-se a uma violação de dados que resultou no vazamento de dados confidenciais de mais de 9,3 milhões de pessoas ao longo de 17 meses. No relatório oficial de violação apresentado pela Excellus em setembro de 2015, afirma-se que os ciberataques obtiveram acesso não autorizado aos sistemas de tecnologia da informação da empresa.

A violação ocorreu exatamente como acontece com a maioria dos ataques cibernéticos direcionados. Os invasores obtiveram acesso, instalaram malware, realizaram reconhecimento e, por fim, divulgaram as PHI de mais de 9,3 milhões de indivíduos.

Agora, os dados sensíveis, como sabemos, são um bem valioso. Informações de saúde protegidas (PHI) são outro nível de sensibilidade. Se a PHI for roubada, um invasor poderá, teoricamente, roubar a identidade do indivíduo. Se o PHI for perdido ou modificado de alguma forma, isso poderá ter efeitos reais na saúde do paciente. Ainda no ano passado, vimos acusações de homicídio contra agressores que causaram a morte de um paciente na Alemanha. Os ataques cibernéticos no setor da saúde são graves e, por isso, o elevado número de acordos não é surpresa.

As violações de dados são, em muitos aspectos, inevitáveis. Os invasores são muito espertos; eles se adaptam muito rapidamente e estão determinados demais para vencer. O que me preocupa é que a investigação do OCR sobre o incidente de segurança encontrou inúmeras violações da HIPAA, incluindo “falhas na implementação da gestão de risco, revisão da atividade do sistema de informação e controlos de acesso e falha na condução de uma análise de risco em toda a empresa.

Isso é algo simples e algo que toda empresa que lida com qualquer forma de dados confidenciais já deveria estar fazendo. É criminoso que nem sempre seja esse o caso.

Por que a Excellus violou a HIPAA e como isso pode ser evitado

Neste blog, examinaremos rapidamente os motivos pelos quais a Excellus violou a HIPAA e explicaremos como futuras violações da HIPAA podem ser evitadas.

Implementando Gestão de Risco

O gerenciamento de riscos de segurança da informação é um processo pelo qual as informações são protegidas, identificando ameaças e mitigando riscos. Essencialmente, exige que as organizações identifiquem quais são os riscos para os seus dados sensíveis e determinem que ações precisam ser tomadas para mitigá-los.

Existem diversas estruturas disponíveis para ajudá-lo a definir seu plano de ISRM. Uma delas, a estrutura do NIST, divide essencialmente a estratégia em seis etapas principais: identificar, proteger, detectar, responder e recuperar.

Para obter mais informações sobre o que é ISRM e como fazê-lo, visite este blog que escrevemos em 2020.

Controles de acesso apropriados

Algo que deveria ser senso comum na teoria, mas que às vezes pode ser difícil de implementar na prática. Os controles de acesso determinam como seus usuários podem interagir com seu ambiente e dados confidenciais.

Como regra geral, os usuários só devem ter acesso aos dados de que necessitam para realizar seu trabalho, nada mais. Isso é conhecido como o princípio do menor privilégio. Sempre que os controles de acesso mudam, as equipes de segurança precisam estar cientes de como isso afeta o acesso a dados confidenciais. Foram criados usuários com níveis excessivos de permissões? Em caso afirmativo, como foi concedido o acesso e como pode revogá-lo?

Além disso, se houver usuários em sua empresa que exijam acesso legítimo a dados confidenciais, eles precisarão ser monitorados de perto por meio de análise comportamental, detecção de anomalias e auditoria de alterações.

Para obter mais informações sobre como gerenciar e monitorar controles de acesso, confira este blog que escrevemos em 2020.

Conduzindo Avaliações de Risco

As avaliações de riscos de segurança de dados precisam ser realizadas regularmente, pois são vitais para garantir que você possa estabelecer as lacunas de segurança atuais e recomendar soluções para prevenção de violações de dados. A HIPAA é apenas uma das muitas regulamentações de conformidade que exigem avaliações ou análises de risco como parte fundamental da estratégia de segurança.

Em essência, uma avaliação de risco bem-sucedida fará o seguinte:

1. Identifique quais são os riscos de dados e estados de segurança muito sensíveis.
2. Identifique e organize os dados pelo peso do risco associado a eles.
3. Tomar medidas para mediar riscos.

Para uma visão detalhada de como implementar uma avaliação de risco de segurança de dados, leia este blog que escrevemos em 2020.

Em última análise, se você ainda não tiver uma plataforma de segurança de dados instalada, muito disso será muito demorado, complexo e barulhento para ser executado regularmente. E os mandatos de conformidade, como o HIPAA, exigem velocidade e regularidade para serem bem-sucedidos.

Se você quiser ver como a plataforma Lepide Data Security pode ajudá-lo a implementar controles de acesso apropriados, gerenciar e avaliar riscos, agende uma demonstração com um de nossos engenheiros ou inicie seu teste gratuito hoje mesmo.