Штраф за недостаточностью мер

США, штат Теннесси. Спустя 3 года после утечки медучреждение Blue Cross Blue Shield заплатит 1,5 млн долларов за невыполнение всех требований закона HIPAA.

В октябре 2009 года медучреждение Blue Cross Blue Shield стало жертвой кражи 57 незашифрованных жестких дисков, на которых хранились персональные данные около миллиона клиентов. BCBST постарались ликвидировать потенциально опасные последствия компрометации данных: для всех жертв утечки организовали бесплатный мониторинг банковских операций в течение года.

Однако Министерство здравоохранения и соцзащиты посчитало предпринятые меры недостаточными и назначило BCBST штраф в размере 1,5 млн долларов. Подразделение Министерства по защите прав человека также потребовало ужесточить политики безопасности, провести тренинги с персоналом, внедрить специализированные системы защиты персональной информации клиентов и работников. Аналитический центр InfoWatch отмечает: на сайте BCBST опубликована информация о том, что только внедрение криптографической защиты обошлось организации в 6 млн долларов.

Комментирует главный аналитик InfoWatch Николай Федотов: «Стоимость внедрения криптографической защиты может показаться завышенной при том, что лицензии на шифровальные программы довольно дёшевы, а есть и вовсе бесплатные. Однако проблема в том, что использование шифрования требует дополнительного рабочего времени как на само это использование, так и на организационное оформление действий, связанных с распределением ключей, заменой паролей, учётом, разрешением конфликтов и т.п. А рабочее время на Западе крайне дорого. Стоимость шифрования информации пока пропорциональна числу работников. Для крупных компаний это дорого. Возможно, поэтому госорганы накладывают такие большие штрафы - чтоб виновные не решили оставить всё как было.»