Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Страховщики оштрафованы за утечку более чем на $5 млн
Компания Excellus Health Plan договорилась с Управлением по гражданским правам (OCR) в США о выплате штрафа в размере $5,1 млн и принятии плана корректирующих мероприятий по кибербезопасности. В 2015 г. компания стала жертвой хакерской атаки, в результате которой были украдены данные более 9,3 млн застрахованных пациентов. Об этом говорится в материале портала Health IT Security.
Excellus Health Plan работает на рынке медицинского страхования США через свои дочерние компании Excellus BlueCross BlueShield и Univera Healthcare. Инцидент безопасности в Excellus стал одной из крупнейших утечек конфиденциальной информации в 2015 г. Потерю данных компания обнаружила в августе 2015 г., но хакеры получили доступ к ее сети еще в декабре 2013 г.
Украденные данные включали имена, даты рождения, номера социального страхования (SSN), контактные данные, ID участников системы медицинского страхования, информацию о счетах, а также сведения о претензиях.
В ходе своего расследования OCR выявила пять нарушений американского закона HIPAA (принят в 1996 г. и защищает информацию о здоровье). В частности, управление пришло к выводу, что Excellus не проводила тщательный анализ угроз конфиденциальности, целостности и доступности защищенной медицинской информации в электронном виде.
«Хакерство по-прежнему представляет огромную угрозу конфиденциальности и безопасности информации о здоровье людей, - заявил руководитель OCR Роджер Северино (Roger Severino). – В этом случае страховая компания более года не мешала злоумышленникам бродить незамеченными в ее электронной медицинской системе, что поставило под угрозу конфиденциальность миллионов лиц, получающих помощь».
Помимо выплаты крупного штрафа, Excellus Health Plan согласилась принять план корректирующих мероприятий, включая двухлетний внешний мониторинг ее системы безопасности. OCR потребовало, чтобы страховщики провели комплексный анализ рисков, предварительно проведя инвентаризацию всего оборудования, систем и приложений, которые хранят, передают или получают электронные медицинские данные. Кроме того, Excellus должна разработать план управления рисками. Всех сотрудников страховой компании необходимо будет обучить новым политикам и процедурам, с передачей в OCR регулярных отчетов о ходе выполнения каждого этапа.