+7 495 229-00-22

Медицинский провайдер оштрафован на $3,5 млн за серию утечек

Февраль 07, 2018

Североамериканское подразделение немецкой компании Fresenius Medical Care заплатит крупный штраф за целый ряд утечек информации. Такое решение приняло управление гражданских прав департамента здравоохранения и социального обеспечения США (HHS OCR), передает Fierce HealthCare.

Fresenius Medical Care – один из крупнейших в мире производителей медицинского оборудования и материалов для помощи людям с хронической почечной недостаточностью. В США этот провайдер обслуживает более 2200 клиник.  Компания наказана отраслевым регулятором за пять нарушений в области информационной безопасности, допущенных еще в период с февраля по июль 2012 г.

Утечки информации произошли в пяти офисах компании. Все инциденты были связаны с кражей носителей информации – стационарных компьютеров, жесткого диска и USB-накопителя. Всего были скомпрометированы персональные данные 521 пациента клиник, с которыми сотрудничал поставщик.

Решение OCR наложить на компанию крупный штраф выглядит запоздалым, но этому шагу предшествовало длительное расследование инцидентов. Выяснилось, что Fresenius не проводил оценку рисков информационной безопасности, не принял необходимых мер по защите оборудования от кражи и даже не использовал шифрование хранимых данных.

Помимо выплаты крупного штрафа, Fresenius Medical Care обязан реализовать план корректирующих мероприятий и регулярно отчитываться регулятору о проводимых работах. В частности, компания должна пересмотреть план существующих ИБ-мероприятий, внедрить политику управления рисками, представить отчет о шифровании данных, изменить правила управления устройствами и средой передачи данных.

Ранее OCR на $2,3 млн оштрафовало сеть онкологических клиник 21st Century Oncology за утечку информации более 2,2 млн пациентов.