医疗行业供应商面临的挑战

关键要点

• Eye Care Leaders (ECL) 因隐藏多个勒索软件攻击而被起诉，且在最近的事件中，ECL 还面临新的攻击。
• 医疗供应商与客户之间的关系复杂，尤其是在安全事件发生后。
• 根据健康保险流通与问责法案（HIPAA），医疗机构与处理患者数据的供应商需要签署业务合作协议（BAA），但这样做的风险由医疗机构承担。
• 解决问题的方式包括中断与问题供应商的关系或给予其修正的机会。
• 在选择供应商时，医疗机构需进行详细审核，确保合规性。

最近，ECL正经历一年的困境。根据一项由医疗提供者提起的，ECL被指控隐藏多次勒索软件攻击，且最近的数据泄露通知显示，在12月ECL还遭遇了另一场攻击。

对于医疗行业的业务伙伴和受到影响的客户来说，单一的安全事件可能造成名誉损害和各种货币损失。但ECL的事件显著加剧了这些影响，过去几个月揭示的问题使情况变得更加复杂。

根据，与处理患者数据的供应商签订合同的受保护实体必须达成业务合作协议。BAA明确规定了供应商必须遵守的具体要求，以符合HIPAA的规定，并且通常会根据具体的合作需求进行调整。

这引出了一个问题：当与一个问题供应商签约时，提供者该如何处理？

需要明确的是，ECL并不是首个经历多次攻击的医疗实体，提供者也不应因一次安全事件而立即寻求终止与业务伙伴的关系。然而，ECL所报告的事件数量，尤其是在短时间内发生的数量，显然超过了正常水平。

ECL的安全动荡

在四月中旬，美国北卡罗来纳州中区法院的一起诉讼列出了一系列震惊的指控，诉讼方包括联盟眼科、达拉斯视网膜中心及德克萨斯州眼科和白内障中心，描绘出一种令人担忧的安全状态。

据说ECL在2021年3月经历了一次勒索软件攻击，且对此向其客户隐瞒了数周，未能及时告知提供者可能的损害甚至服务恢复的努力。相反，ECL被指控曲解事件，对客户“持续承诺服务会恢复，而实际上并未恢复”。

根据诉讼，ECL在发生故障数月后，许多服务仍然处于不可用状态，客户因缺少患者数据而无法进行计费。

诉讼中列举的其他指控包括：

指控 | 描述
—|—
服务中断 | 4月期间发生了多次中断，还有6月的3天中断。
数据丢失 | 客户的患者数据未被恢复。
计费问题 | 向客户收取未提供服务的费用。
拒绝提供数据 | 不愿意给客户提供数据以便转移到新供应商。
合同违反 | 违反多个承诺限制停机时间的合同条款。
HIPAA违规 | 包括未及时报告数据泄露等。
安全措施不足 | 安全性显著不足。

此外，诉讼还指出，ECL的myCare完整性平台在2021年8月经历了一次单独的勒索软件攻击，但ECL却将该事件歪曲为“性能或系统”问题，直到一个月后才告知客户真正原因。

根据诉讼，这一系列事件使得客户实践受到严重影响，甚至无法访问患者信息，返回纸质流程。

供应商的HIPAA要求

在处理患者的受保护健康信息时，医疗机构必须与其供应商签署业务合作协议。该协议包含具体的规定和要求，包括必要的安全措施和事件报告。

马赫勒（Andrew Mahler）指出，隐私规则还规定，如果医疗机构意识到供应商存在违反协议的模式或行为，医疗