Генеральный прокурор Джеймс взыскал 200 000 долларов с юридической фирмы за неспособность защитить личные данные жителей Нью-Йорка

Юридическая фирма HPMB не приняла меры по обеспечению безопасности данных для защиты медицинской информации жителей Нью-Йорка от утечки данных

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс взыскала 200 тыс. долл. с юридической фирмы Heidell, Pittoni, Murphy & Bach LLP (HPMB) за неспособность защитить персональные данные жителей Нью-Йорка и их медицинскую информацию. Неудовлетворительные меры по защите информации сделали HPMB уязвимой к утечке данных в 2021 г., в результате которой была раскрыта частная информация примерно 114 тыс. пациентов, в том числе более 60 тыс. жителей Нью-Йорка. Юридическая фирма представляет интересы больниц Нью-Йорка и хранит конфиденциальную частную информацию пациентов, включая даты рождения, номера социального страхования, данные медицинского страхования, историю болезни и/или информацию о лечении. Неполадки в системе безопасности данных, допущенные HPMB, нарушили не только законодательство штата, но и стандарт HIPAA, который требует от HPMB соблюдения определенных передовых методов защиты данных. В результате соглашения HPMB должна выплатить штату штрафные санкции в размере 200 000 долл. и усилить меры кибербезопасности для защиты личной и частной медицинской информации потребителей. 

"Жители Нью-Йорка не должны беспокоиться о том, что их частная жизнь нарушается и их конфиденциальная информация используется не по назначению", - сказал генеральный прокурор Джеймс. "С конфиденциальной информацией пациентов следует обращаться осторожно и обеспечивать ее защиту в Интернете, чтобы защитить жителей Нью-Йорка от кражи личных данных и мошенничества. Учреждения, которым поручено защищать эту информацию, обязаны делать это правильно и информировать власти и жителей Нью-Йорка о нарушениях. Компании могут и должны усилить меры безопасности данных для защиты цифровых данных потребителей, в противном случае они могут ожидать ответа от моего офиса".

В ноябре 2021 года злоумышленник смог использовать уязвимость в почтовом сервере Microsoft Exchange компании HPMB, чтобы получить доступ к системам HPMB. Исправления для этой уязвимости были выпущены Microsoft несколькими месяцами ранее, но HPMB не применил эти исправления своевременно, оставив уязвимость незащищенной для потенциальной эксплуатации. В декабре 2021 года злоумышленник внедрил вредоносное ПО в системы HPMB, что привело к сбою в работе системы электронной почты HPMB. В ходе последующего расследования HPMB обнаружила, что десятки тысяч файлов были потенциально похищены из систем HPMB. Анализ этих файлов показал, что электронная медицинская информация и/или частная информация - включая имена, даты рождения, номера социального страхования и/или медицинские данные - 114 979 человек, в том числе 61 438 жителей Нью-Йорка, вероятно, были раскрыты в результате атаки. 

В мае 2022 года HPMB начала уведомлять пострадавших потребителей, чья личная информация была скомпрометирована в ходе инцидента. Генеральная прокуратура определила, что компания HPMB не приняла разумные меры по защите личной информации потребителей в нескольких областях. В частности, HPMB не принял ряд мер, требуемых HIPAA, под действие которой HPMB подпадает из-за своих деловых отношений с больницами и госпиталями, включая проведение регулярной оценки рисков своих систем, шифрование частной информации на своих серверах и принятие соответствующих методов минимизации данных. 

В результате сегодняшнего соглашения HPMB должна выплатить государству 200 000 долларов в виде штрафов. HPMB также обязана принять меры по улучшению защиты личной и частной медицинской информации пациентов своих клиентов в будущем, включая:

  • Поддержание комплексной программы информационной безопасности, включающей регулярное обновление с учетом изменений в технологии и угроз безопасности, а также информирование руководства фирмы о рисках безопасности;

  • Шифрование частной и медицинской информации, которую она собирает, использует, хранит и поддерживает;

  • Внедрение централизованной регистрации и мониторинга сетевой активности, включая журналы, которые легко доступны в течение не менее 90 дней и хранятся не менее одного года с момента регистрации активности;

  • Создание разумной программы управления исправлениями, включая соответствующий мониторинг требуемых обновлений, надзор за программой и обучение сотрудников;

  • Разработка программы тестирования на проникновение, которая включает регулярное тестирование сетевой безопасности HPMB; и,

  • Обновление практики сбора и хранения данных, включая сбор данных в минимальном объеме, необходимом для выполнения законных деловых функций, и окончательное удаление всех таких данных, когда больше нет разумной деловой или юридической цели для сохранения такой информации.

Этим вопросом занимались помощник генерального прокурора Лора Мумм и заместитель начальника бюро Кларк Рассел при особой помощи аналитика по Интернету и технологиям Нишаанта Госвами из Бюро по Интернету и технологиям под руководством начальника бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.