Штраф в 3 миллиона долларов за утечку данных 300 тысяч пациентов
Компания из штата Теннесси, предоставляющая услуги медицинской визуализации, выплатит три миллиона долларов Управлению по Гражданским Правам при Министерстве Здравоохранения и Социальных Служб США в качестве компенсации за нарушение безопасности медицинской информации: в интернет утекли защищенные данные более 300 000 пациентов Touchstone Medical Imaging.
Как выяснилось, FTP сервер компании Touchstone Medical Imaging предоставлял свободный доступ к персональной медицинской информации пациентов, в результате чего в сеть попали имена, даты рождения, номера социального страхования и адреса пациентов. Данные выдавались по запросам поисковыми системами и оставались в доступе даже после отключения сервера.
«Эта информация в чужих руках может привести к хищению персональных данных, мошенничеству в банковской и медицинской сфере, «фишинговым» и другим атакам, в которых используются персональные данные, – сказал Мак МакМиллан, генеральный директор и президент консалтинговой фирмы CynergisTek, занимающейся кибер-безопасностью. – Чтобы избежать подобных проблем, необходимо улучшить базовые меры кибер-безопасности, проводить профилактическое тестирование и мониторинг систем. Привлечение федеральных органов, готовых оказать необходимое содействие, также поможет снизить риск».
После получения уведомления от ФБР и Управления по Гражданским Правам, Touchstone первоначально заявляла, что медицинским данным их пациентов ничего не угрожает, но позже призналась, что информация более 300 000 пациентов была скомпрометирована.
В ходе расследования обнаружилось, что Touchstone ждала несколько месяцев, прежде чем начать собственное расследование даже после получения уведомления от ФБР и Управления по Гражданским Правам, при этом не сообщив пациентам об инциденте. Также выяснилось, что компания с головным офисом в городе Франклин штат Теннесси не провела надлежащий и полный анализ рисков и уязвимостей в отношении конфиденциальности, целостности и доступности медицинских электронных данных. Кроме того, Touchstone Medical Imaging «забыла» заключить договоры с поставщиком ИТ услуг и сторонним центром хранения данных, как требуется по закону.
«По сути, Touchstone не выполнила свои обязательства по оценке рисков, связанных с ее поставщиками и их партнерами, что не редкость в сфере здравоохранения. Простое заключение договора о деловом сотрудничестве – это только первый шаг, – сказал МакМиллан. – Организации должны четко прописывать требования по безопасности данных в своих контрактах, проводить проверки защиты информации и требовать от своих партнеров уведомления о всех изменениях, влияющих на уровень рисков».
Он добавил, что инцидент еще раз напомнил: «сфера здравоохранения является лакомым куском для кибер-преступников из-за большого объема важных данных».
Компания согласилась принять план по устранению недостатков в своей работе за нарушение Закона об ответственности и переносе данных о страховании здоровья граждан (HIPAA) и Правил уведомлений о нарушении безопасности данных. По этому плану Touchstone обязана заключить соглашения с бизнес-партнерами, провести анализ рисков в масштабе всего предприятия и ввести в действие политики и процедуры, отвечающие требованиям HIPAA.
«Touchstone Medical Imaging подходит к вопросам кибер-безопасности со всей серьезностью, – сказала директор по корпоративному регулированию Кэсси Селлерс. – Тот факт, что персональная информация даже одного-единственного нашего пациента может быть скомпрометирована, является абсолютно неприемлемым для нас. Этот инцидент имел место пять лет назад, и мы потратили много средств на улучшение нашей программы кибер-безопасности, мы усовершенствовали наши ИТ системы, добавили специально выделенный для этой цели ИТ персонал и сотрудников, отвечающих за безопасность персональных данных. Мы продолжим выделять все ресурсы, необходимые для обеспечения конфиденциальности и сохранности данных наших пациентов».
Touchstone предоставляет услуги по диагностической визуализации в штатах Небраска, Техас, Колорадо, Флорида и Арканзас.