+7 495 229-00-22

Сеть клиник заплатит $418 тыс. за утечку врачебной тайны

Апрель 06, 2018

Система здравоохранения Virtua Medical Group (VMG) из южного Нью-Джерси по решению прокуратуры оштрафована на $418 тыс. за то, что допустила компрометацию медицинских записей более 1600 пациентов.

Инцидент в сети VMG произошел еще в начале 2016 г. Прокуратура Нью-Джерси получила сообщение от местной жительницы. Женщина утверждала, что ее дочь обнаружила в Интернете часть своих медицинских записей, сделанных по результатам посещения гинеколога. В ходе последующего расследования выяснилось, что через поисковый запрос в Google, с указанием имени пациента, имени врача или медицинского термина, можно было получить доступ к открытому FTP-серверу. На незащищенном ресурсе содержались медицинские данные более 1600 пациентов Virtua.

Установлено, что утечка произошла по вине компании Best Medical Transcription – частного поставщика ИТ-услуг. В ходе обновления программного обеспечения сотрудники компании случайно убрали ограничения безопасности, в результате чего сервер оказался незащищенным.

Best Medical Transcription смогла оперативно исправить неверную конфигурацию сервера, удалить расшифрованные документы с FTP и защитить хранилище паролем. Кроме того, в Google был направлен запрос на удаление всего кэша скомпрометированного сервера. В итоге специалисты VMG вручную удалили 462 записи, которые продолжали отображаться в результатах поиска.

«Хотя утечка данных случилась в результате действий сторонней компании, Virtua Medical Group несет ответственность за инцидент, потому что это были данные их пациентов, - отмечает Шэрон М. Джойс (Sharon M. Joyce), руководитель отдела по делам потребителей Нью-Джерси. – Такая дисциплинарная мера сигнализирует медицинским практикам, что хорошо разбираться в вопросах информационной безопасности недостаточно. Нужно также проверять то, насколько безопасна работа ваших поставщиков».

Помимо выплаты крупного штрафа, VMG обязана оплатить услуги юриста в размере более $10 тыс. и реализовать план корректирующих мероприятий, включая привлечение специалиста для тщательного анализа рисков безопасности, связанных с хранением, передачей и представлением медицинских данных.