Генеральный прокурор Джеймс взыскал $550 000 с компании по управлению медицинскими учреждениями округа Эри за неспособность защитить данные пациентов

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс взыскала 550 тыс. долл. с компании Professional Business Systems, Inc. d/b/a Practicefirst Medical Management Solutions и PBS Medcode Corp. (Practicefirst) за неспособность защитить персональные данные жителей Нью-Йорка, включая медицинские карты. Несвоевременное обновление программного обеспечения сделало сети компании Practicefirst подверженными кибератаке, в результате которой пострадали более 1,2 млн. человек по всей стране, в том числе более 428 тыс. жителей Нью-Йорка. Нарушения в обеспечении безопасности данных, допущенные компанией Practicefirst, явились нарушением как законодательства штата, так и федерального закона о переносимости и подотчетности медицинского страхования (HIPAA). В результате сегодняшнего соглашения компания Practicefirst согласилась выплатить Нью-Йорку штрафные санкции в размере 550 000 долларов США, усовершенствовать свои методы защиты данных и предложить пострадавшим потребителям бесплатные услуги кредитного мониторинга.

"Когда человек обращается за медицинской помощью, его последней заботой должна быть безопасность его личной информации", - заявил генеральный прокурор Джеймс. "Каждая компания, которой поручено хранить и обрабатывать данные пациентов, должна серьезно относиться к своей ответственности за защиту личной информации, особенно медицинских карт. Жители Нью-Йорка могут быть уверены, что когда компании не справятся со своими обязанностями, мой офис вступит в дело и привлечет их к ответственности".

Practicefirst - это компания по управлению медицинскими услугами, которая помогает организациям здравоохранения с медицинским биллингом, кодированием, подтверждением квалификации и другими услугами. В январе 2019 года поставщик брандмауэра компании Practicefirst выпустил новую версию своего программного обеспечения, предназначенную для устранения критической уязвимости. Practicefirst не обновила свое программное обеспечение и не провела тесты на проникновение, сканирование уязвимостей или другие проверки безопасности, которые могли бы выявить проблемы безопасности. В ноябре 2020 года хакер воспользовался критической уязвимостью брандмауэра и успешно получил доступ к системам Practicefirst. Позже хакер запустил программу выкупа и вытащил файлы, содержащие личную информацию пациентов. Несколько дней спустя в темной паутине были обнаружены скриншоты, содержащие личную информацию 13 потребителей.

Расследование, проведенное компанией Practicefirst, показало, что злоумышленник похитил 79 000 файлов. Эти файлы содержали личную информацию, включая даты рождения, номера водительских прав, номера социального страхования, диагнозы, информацию о лекарствах и финансовую информацию более 1,2 миллиона пациентов клиентов Practicefirst, включая более 428 000 жителей Нью-Йорка. Эта информация, хранившаяся в сети Practicefirst, не была зашифрована.

Генеральная прокуратура (OAG) установила, что компания Practicefirst не соблюдала разумные методы обеспечения безопасности данных для защиты частной и медицинской информации пациентов, в том числе не поддерживала соответствующие процессы управления исправлениями, не проводила регулярное тестирование безопасности своих систем и не шифровала личную информацию на своих серверах.

В результате сегодняшнего соглашения Practicefirst выплатит штрафные санкции в размере 550 000 долларов США и предложит пострадавшим потребителям бесплатные услуги кредитного мониторинга. Кроме того, Practicefirst будет обязана принять меры по улучшению защиты личной информации, включая:

• Ведение комплексной программы информационной безопасности, которая будет регулярно пересматриваться и обновляться;
• Шифрование частной и медицинской информации;
• Принятие соответствующих процедур управления учетными записями и аутентификации, таких как многофакторная аутентификация;
• Внедрение решения по управлению исправлениями, которое обеспечит своевременную установку исправлений и обновлений безопасности;
• разработка программы управления уязвимостями, которая включает регулярное сканирование уязвимостей и тестирование на проникновение, а также соответствующее устранение уязвимостей, выявленных в ходе такого сканирования и тестирования; и
• Обновление практики сбора, хранения и удаления данных для обеспечения того, чтобы частная медицинская информация хранилась только в минимальном объеме, необходимом для достижения законных деловых целей.

Пострадавшие потребители могут получить доступ к бесплатным услугам кредитного мониторинга, следуя инструкциям в разделе "Что вы можете сделать" на сайте Practicefirst.

В прошлом месяце генеральный прокурор Джеймс выпустил всеобъемлющее руководство по безопасности данных, призванное помочь предприятиям и организациям усилить меры кибербезопасности для защиты личной информации жителей Нью-Йорка. Сегодняшнее соглашение продолжает работу генерального прокурора Джеймса по привлечению компаний к ответственности за низкий уровень кибербезопасности. В декабре 2022 г. генеральный прокурор Джеймс добился взыскания 200 000 долл. с производителя студенческих шапок и халатов Herff Jones за неспособность защитить персональные данные потребителей. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,2 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой были скомпрометированы персональные данные миллионов потребителей по всей стране. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и обязал ее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей. В марте 2022 г. генеральный прокурор Джеймс выпустил предупреждение для потребителей, в котором рекомендовал клиентам компании T-Mobile принять соответствующие меры для защиты своих персональных данных после утечки информации. 

Этим вопросом занимались помощник генерального прокурора Джина Джон и заместитель начальника бюро Кларк Рассел, при особой помощи аналитика по Интернету и технологиям Нишаанта Госвами, под руководством начальника бюро по Интернету и технологиям Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.