Американская страхования компания получила штраф в 6,85 млн. долларов за утечку данных

Дата: 29.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Американская страхования компания получила штраф в 6,85 млн. долларов за утечку данных

Компания Premera, работающая в сфере медицинского страхования, получила второй по величине штраф в истории за нарушение закона HIPAA. Управление гражданских прав американского Министерства здравоохранения и социальных служб оштрафовала компанию на 6,85 млн. долларов.

Premera Blue Cross – это некоммерческая страховая компания, имеющая лицензию Blue Cross Blue Shield и базирующаяся в городе Маунтлейк Террас. В 2014 году в компании произошла утечка данных, которая повлияла на защищенные законом медицинские данные (PHI) 10,4 миллиона человек.

Тогда хакерской группировкой была проведена целевая фишинговая кампания для получения доступа к внутренней сети компании Premera. В результате чего киберпреступники получили полный доступ к персональной информации сотрудников и пациентов:

  • имена;
  • адреса;
  • даты рождения;
  • email-адреса;
  • номера социального страхования;
  • сведения о банковских счетах;
  • клинические данные о планах медицинского обслуживания пациентов.

Предполагается, что взлом произошел в мае 2014 г., но сотрудники безопасности Premera не могли обнаружить присутствие хакеров во внутренней сети компании вплоть до января 2015 г. Только в марте 2015 г. представители Premera сообщили в Управление гражданских прав (OCR) о случившейся утечке данных.

После проведенного расследования сотрудники Управления гражданских прав выяснили, что во внутренней сети и регламенте информационной безопасности компании Premera имеет место «системное несоблюдение правил HIPAA» (Акт о мобильности и подотчетности медицинского страхования).

К недостаткам системы безопасности компании Premera, которые были выявлены экспертами, относятся:

  • пренебрежительное отношение к процессам проведения всестороннего и точного анализа для выявления всех рисков для конфиденциальности, целостности и доступности ePHI;
  • непринятие мер по снижению рисков и уязвимостей электронной PHI «до разумного и надлежащего уровня».

Компания Premera согласилась с решением комиссии и заплатит штраф в 6,85 млн. долларов, а также внедрит «надежный план корректирующих действий», который включает двухлетний мониторинг. В соответствии с соглашением, компания должна разработать план анализа рисков и пересматривать его не реже одного раза в год.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *