وزارت بهداشت و درمان آمریکا: گروه‌های بهداشت و درمان باید همه‌ی حملات باج‌افزاری را گزارش کنند

وزارت بهداشت و درمان ایالات متحده آمریکا (HHS) این هفته دستورالعمل‌هایی را منتشر کرد که بیمارستان‌ها و مطب‌های پزشکان را ملزم می‌کند تا اگر قربانی حملات باج‌افزار قرار گرفتند آن را گزارش دهند.
دستورالعمل HSS دارای قواعدی مشخص و مخصوص به خود در مواردی است که ارائه‌دهندگان خدمات پزشکی ملزم به اطلاع‌رسانی می‌شوند. این گزارش‌ها هنگامی باید ارائه شوند که اطلاعات سلامت الکترونیکی حفاظت‌شده (ePHI) مطابق با دستورالعمل‌های HHS حفاظت نشده باشند و یا اگر eHPS به‌صورت مناسبی رمزنگاری نشده باشد که بتواند در برابر جنایتکاران حرفه‌ای غیرقابل نفوذ شود.
با این‌حال، اگر هیچ‌کدام از این موارد رعایت نشده باشند سازمان‌های در خطر افتاده موظف هستند تا در صورت رخ دادن یک حمله‌ی باج‌افزاری آن را به HSS گزارش دهند. تفاوت دستورالعمل جدید با آنچه که اکنون اجرا می‌شود این است که استاندارد حال حاضر تنها نیاز به گزارش را زمانی الزامی می‌داند که اطلاعات شخصی بیش از ۵۰۰ نفر از طریق نفوذ رخ‌داده در معرض خطر قرار گرفته باشند و حمله‌ی باج‌افزاری در محدوده‌ی آن قرار نمی‌گیرد.
نمونه‌ای که توسط HHS آورده شده، این است: «اگر یک لپ‌تاپ با یک راه‌حل رمزگذاری کامل دیسک مطابق با استانداردهای سازگار رمزنگاری HSS رمزنگاری‌شده و به‌صورت صحیح و مناسبی خاموش شده باشد و سپس به سرقت رفته و یا گم شود، داده‌های موجود در لپ‌تاپ برای هرکسی جز افراد و کاربرانی که اجازه دارند، غیرقابل‌خواندن و استفاده خواهد بود. به دلیل اینکه PHI استفاده‌شده در لپ‌تاپ دارای امنیت کافی است، نهاد تحت پوشش و یا شرکت وابسته نیازی ندارد تا به ارزیابی خطر برای تعیین احتمال به خطر افتادن اطلاعات پرداخته و یا یک گزارش نفوذ را ارائه کند».
Ted Lieu نماینده کالیفرنیا در مجلس می‌گوید او از موضوع HSS در این مورد خشنود است. وی و نماینده تگزاس Will Hurd در اواخر ماه ژوئن نامه‌ای را ارسال کرده و از HSS خواسته بودند تا دستورالعمل مربوط به باج‌افزارها را توسعه ببخشند.
این نماینده در اظهاریه‌ای اعلام کرده است: «من خوشحال هستم که وزارت بهداشت و درمان دستورالعمل‌هایی را ارائه نموده است که بر اساس آن بیشتر حملات باج‌افزاری و بدافزاری بر طبق قانون HITECH (قانون فناوری اطلاعات پزشکی برای سلامت و بهداشت و درمان) به‌عنوان یک نفوذ تلقی می‌شوند».
دستورالعمل HSS عنوان می‌کند که نهادهایی که از قوانین امنیتی HIPAA پیروی می‌کنند در برابر باج‌افزار و دیگر حملات سایبری از امنیت بیشتری برخوردار خواهند بود، چراکه آن‌ها نیاز به انجام اقدامات امنیت سایبری تجزیه و تحلیل خطرات برای شناسایی تهدیدات و آسیب‌پذیری‌ها را خواهند داشت تا اقدامات را برای کاهش خطر صورت دهند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.