Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Сеть клиник оштрафована за утечку на $2,3 млн
Управление по гражданским правам министерства здравоохранения и социальных служб США (HHS OCR) решило на $2,3 млн оштрафовать медицинскую организацию CHSPSC, которая допустила утечку персональных данных нескольких миллионов пациентов. Такую информацию приводит портал Health IT Security.
CHSPSC – одна из крупнейших медицинских сетей в США, управляющая более 200 клиниками по всей территории страны. В 2014 г. организация потерпела разрушительный инцидент информационной безопасности. Хакеры из APT18 (считается, что она относится к числу спонсируемых Китаем группировок киберпреступников) похитили учетные данные администратора CHSPSC и смогли получить удаленный доступ к информационной системе компании через VPN, запустив вредоносное ПО.
В CHSPSC обнаружили утечку данных только 18 апреля 2014 г., спустя восемь дней после атаки, и уведомили об инциденте ФБР. Однако, активность хакеров в сети компании сохранялась еще четыре месяца – до 18 августа 2014 г.
В ходе расследования выяснилось, что инцидент затронул в общей сложности 237 медицинских учреждений, входящих в состав CHSPSC. Хакерам удалось похитить данные 6,12 млн пациентов, включая такую информацию, как номера социального страхования (SSN), пол, даты рождения, контакты, этническая принадлежность и контакты в экстренных случаях.
Вскоре после сообщения об утечке ряд пациентов подали иск в адрес сети клиник. В результате CHSPSC в 2019 г. вынуждена была в рамках урегулирования претензий заплатить $3,1 млн.
Аудит OCR выявил серьезные нарушения в медицинской организации. Выяснилось, что CHSPSC длительное время пренебрегала соблюдением правил безопасности, прописанных в законе HIPAA. В частности, управляющая компания отказывалась проводить анализ рисков и работоспособности информационных систем, а также не реализовала процедуры защиты от инцидентов и не внедрила средства контроля доступа.
В результате OCR наложило на CHSPSC штраф в размере $2,3 млн. Кроме того, сеть клиник обязуется принять план корректирующих мероприятий, чтобы обеспечить соблюдение требований HIPAA.
Ранее в сентябре OCR на $1,5 млн оштрафовало сеть ортопедических клиник Athens из штата Джорджия. В 2016 г. эта медицинская организация допустила утечку персональных данных пациентов в результате атаки хакеров из группировки The Dark Overlord (TDO).