毫无疑问,公司在其网络上面临前所未有的血统和侵入式网络攻击的体积和变化。在今天的不同攻击方法中,赎金软件迅速成为Cisos和安全专业人士的主要关注点。根据来自美国政府的际际指导,目前有超过4,000个日期赎金软件攻击 - 从2015年经验丰富的每日赎金软件攻击超过300%。
赎金软件可能持有人质关键企业,客户和员工数据,但内部法律和通信团队也关注这些攻击是否触发了通知规则。民权卫生和人力服务办公室(“HHS OCR”),强制执行HIPAA安全和违反通知规则,最近发布了指导赎金软件事件可能被视为需要通知的违规行为。这一指导是对所有公司的巨大提醒,无论是由HIPAA监管,还要仔细考虑如何发展攻击方法如何直接暗示事件响应策略和合规义务。
在2016年3月2日的预期举动中,消费者金融保护局(CFPB)通过对DWolla,Inc。的第一次执法行动进入Cybersecurity Foray,该行动是在线支付处理初创公司的第一个执法行动。根据其权限根据部门1031(a)和1036(a)(1)在2010年的消费金融保护法案中,CFPB罚款DWolla $ 10,000并获得了五年同意令对管理层和董事会施加严格的要求。这项CFPB执法行动对某些金融服务实体的“合理网络安全”的轮廓提供了重要的见解,以及进行网络安全风险评估的重要课程。这些问题与我们最近在网络安全竞技场中报告过的重要活动的燕尾证券交易委员会(秒),金融行业监管机构(芬兰),联邦贸易委员会(FTC),民权卫生与人类服务部(HHS-OCR),以及一系列其他国家和联邦监管机构。
美国卫生和人类服务部的官员公民部(HHS OCR)最近选择了一位供应商来开展第二波HIPAA审计。这些所谓的“第2阶段审计”被设定为开始对违反HIPAA安全规则的两个重要HHS OCR执法诉讼的脚跟:
上个月,美国卫生和人际关系办公室宣布,它曾与马萨诸塞州布莱顿的圣伊丽莎白的医疗中心(SEMC)签订了与圣伊丽莎白的医疗中心的和解协议。根据非冒犯解决,SEMC同意支付218,400美元,并进入一年的纠正措施计划(CAP),以解决其雇员在云文件中储存电子保护的健康信息的雇员违反了HIPAA安全规则的指控-sharing应用程序。
