Штраф медицинской компании за утечку информации из-за сотрудника
Медицинская компания Geisinger Health и Nuance Communications (входит в состав Microsoft) выплатят штраф из-за утечки информации по вине бывшего сотрудника.
Geisinger Health является одним из основных поставщиков услуг здравоохранения на территории США, обслуживает 1,2 млн жителей Пенсильвании в 134 медицинских учреждениях, а годовой доход компании составляет порядка $10 млрд.
Утечка информации произошла по вине бывшего сотрудника Nuance Communications, которая поставляет ИИ-решения для Geisinger Health. По версии следствия, через два дня после увольнения Макс Вэнс украл информацию более 1 млн пациентов Geisinger. Потенциально скомпрометированные данные включали имена пациентов, номера социального страхования, даты рождения и медицинскую информацию.
Компания обнаружила инцидент информационной безопасности в 2023 году и сообщила об этом Nuance Communications, которая сразу закрыла Вэнсу доступ к конфиденциальным данным. В свою очередь, Geisinger Health из-за проведения расследования отложила отправку уведомлений о нарушении пациентам до июня 2024 года.
Максу Вэнсу предъявлены обвинения по статье «получение информации с защищенного компьютера» в соответствии с Законом о компьютерном мошенничестве. Судебное разбирательство по его делу откладывались несколько раз, и в настоящее время оба заседания запланированы на начало следующего года в федеральном суде Пенсильвании.
На текущий момент по коллективному иску достигнуто предварительное мировое соглашение, по которому федеральный суд одобрил урегулирование на сумму $5 млн.
Согласно распространенной практике, каждый пострадавший от утечки информации будет иметь возможность выбрать один из двух вариантов оплаты: возмещение до $5000 за фактические убытки, связанные с инцидентом ИБ, или альтернативную выплату, которая будет распределена пропорционально после удовлетворения требований о возмещении ущерба от утечки информации и других издержек. Помимо выплат, пострадавшие смогут также получить годовую подписку на услуги по кредитному мониторингу.
В иске утверждалось, что обе компании проявили халатность и не смогли защитить конфиденциальную информацию своих пациентов. При этом представитель Geisinger Health заявил, что ни Geisinger Health, ни ее страховая компания не будут выплачивать компенсации. Юристы Microsoft, материнской компании Nuance, принимавшие участие в урегулировании иска, пока отказываются комментировать ситуацию.
Финальное судебное слушание запланировано на март следующего года.