Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Сеть клиник оштрафована за утечку на $2,3 млн

Управление по гражданским правам министерства здравоохранения и социальных служб США (HHS OCR) решило на $2,3 млн оштрафовать медицинскую организацию CHSPSC, которая допустила утечку персональных данных нескольких миллионов пациентов. Такую информацию приводит портал Health IT Security.

CHSPSC – одна из крупнейших медицинских сетей в США, управляющая более 200 клиниками по всей территории страны. В 2014 г. организация потерпела разрушительный инцидент информационной безопасности. Хакеры из APT18 (считается, что она относится к числу спонсируемых Китаем группировок киберпреступников) похитили учетные данные администратора CHSPSC и смогли получить удаленный доступ к информационной системе компании через VPN, запустив вредоносное ПО.

В CHSPSC обнаружили утечку данных только 18 апреля 2014 г., спустя восемь дней после атаки, и уведомили об инциденте ФБР. Однако, активность хакеров в сети компании сохранялась еще четыре месяца – до 18 августа 2014 г.

В ходе расследования выяснилось, что инцидент затронул в общей сложности 237 медицинских учреждений, входящих в состав CHSPSC. Хакерам удалось похитить данные 6,12 млн пациентов, включая такую информацию, как номера социального страхования (SSN), пол, даты рождения, контакты, этническая принадлежность и контакты в экстренных случаях.

Вскоре после сообщения об утечке ряд пациентов подали иск в адрес сети клиник. В результате CHSPSC в 2019 г. вынуждена была в рамках урегулирования претензий заплатить $3,1 млн.

Аудит OCR выявил серьезные нарушения в медицинской организации. Выяснилось, что CHSPSC длительное время пренебрегала соблюдением правил безопасности, прописанных в законе HIPAA. В частности, управляющая компания отказывалась проводить анализ рисков и работоспособности информационных систем, а также не реализовала процедуры защиты от инцидентов и не внедрила средства контроля доступа.

В результате OCR наложило на CHSPSC штраф в размере $2,3 млн. Кроме того, сеть клиник  обязуется принять план корректирующих мероприятий, чтобы обеспечить соблюдение требований HIPAA.

Ранее в сентябре OCR на $1,5 млн оштрафовало сеть ортопедических клиник Athens из штата Джорджия. В 2016 г. эта медицинская организация допустила утечку персональных данных пациентов в результате атаки хакеров из группировки The Dark Overlord (TDO).  

Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.