АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

25 сентября 2020

Сеть клиник оштрафована за утечку на $2,3 млн

Управление по гражданским правам министерства здравоохранения и социальных служб США (HHS OCR) решило на $2,3 млн оштрафовать медицинскую организацию CHSPSC, которая допустила утечку персональных данных нескольких миллионов пациентов. Такую информацию приводит портал Health IT Security.

CHSPSC – одна из крупнейших медицинских сетей в США, управляющая более 200 клиниками по всей территории страны. В 2014 г. организация потерпела разрушительный инцидент информационной безопасности. Хакеры из APT18 (считается, что она относится к числу спонсируемых Китаем группировок киберпреступников) похитили учетные данные администратора CHSPSC и смогли получить удаленный доступ к информационной системе компании через VPN, запустив вредоносное ПО.

В CHSPSC обнаружили утечку данных только 18 апреля 2014 г., спустя восемь дней после атаки, и уведомили об инциденте ФБР. Однако, активность хакеров в сети компании сохранялась еще четыре месяца – до 18 августа 2014 г.

В ходе расследования выяснилось, что инцидент затронул в общей сложности 237 медицинских учреждений, входящих в состав CHSPSC. Хакерам удалось похитить данные 6,12 млн пациентов, включая такую информацию, как номера социального страхования (SSN), пол, даты рождения, контакты, этническая принадлежность и контакты в экстренных случаях.

Вскоре после сообщения об утечке ряд пациентов подали иск в адрес сети клиник. В результате CHSPSC в 2019 г. вынуждена была в рамках урегулирования претензий заплатить $3,1 млн.

Аудит OCR выявил серьезные нарушения в медицинской организации. Выяснилось, что CHSPSC длительное время пренебрегала соблюдением правил безопасности, прописанных в законе HIPAA. В частности, управляющая компания отказывалась проводить анализ рисков и работоспособности информационных систем, а также не реализовала процедуры защиты от инцидентов и не внедрила средства контроля доступа.

В результате OCR наложило на CHSPSC штраф в размере $2,3 млн. Кроме того, сеть клиник  обязуется принять план корректирующих мероприятий, чтобы обеспечить соблюдение требований HIPAA.

Ранее в сентябре OCR на $1,5 млн оштрафовало сеть ортопедических клиник Athens из штата Джорджия. В 2016 г. эта медицинская организация допустила утечку персональных данных пациентов в результате атаки хакеров из группировки The Dark Overlord (TDO).  

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>