Генеральный прокурор Джеймс взыскал 350 000 долл. с компании, оказывающей медицинские услуги на дому на Лонг-Айленде, за неспособность защитить данные о пациентах и сотрудниках

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня взыскала 350 тыс. долл. с компании Personal Touch Holding Corporation (Personal Touch), расположенной на Лонг-Айленде, за неспособность защитить персональные данные уязвимых жителей Нью-Йорка и их медицинскую информацию. Неудовлетворительная защита данных компании Personal Touch сделала ее уязвимой для атаки ransomware, в результате которой были скомпрометированы персональные и медицинские данные примерно 316 845 жителей Нью-Йорка. Ошибки в обеспечении безопасности данных, допущенные компанией Personal Touch, нарушили как законодательство штата, так и федеральный закон о переносимости и подотчетности медицинского страхования (HIPAA), в соответствии с которым компания Personal Touch должна была придерживаться определенных методов защиты данных. В результате сегодняшнего соглашения компания Personal Touch согласилась выплатить Нью-Йорку штрафные санкции в размере 350 000 долларов США, обновить и усовершенствовать инфраструктуру кибербезопасности, а также предоставить пострадавшим лицам бесплатные услуги кредитного мониторинга и защиты от кражи персональных данных. Кроме того, генеральный прокурор Джеймс добился выплаты 100 000 долл. от поставщика страхового программного обеспечения за компрометацию данных сотрудников Personal Touch.

"Медицинские учреждения обязаны не только заботиться о благополучии жителей Нью-Йорка, но и защищать их конфиденциальную и частную информацию", - заявил генеральный прокурор Джеймс. "Нарушения безопасности, допущенные компанией Personal Touch, привели к излишнему стрессу и финансовым проблемам жителей Нью-Йорка, которые просто хотели иметь доступ к высококачественному медицинскому обслуживанию. Мой офис всегда будет принимать меры и привлекать компании к ответственности, если их халатность ставит под угрозу частную информацию жителей Нью-Йорка".

Personal Touch является материнской компанией дочерних предприятий, которые оказывают сертифицированные по программе Medicare услуги по уходу за больными на дому, а также услуги хосписа на дому по всей стране, в том числе в Нью-Йорке, Вестчестере и на Лонг-Айленде. В январе 2021 г. один из сотрудников Personal Touch открыл зараженный вредоносным ПО файл, приложенный к фишинговому письму, что позволило хакеру получить доступ к сети Personal Touch и собрать с незашифрованного сервера записи о пациентах и сотрудниках. Эти записи хранились несколько десятилетий и содержали конфиденциальную личную и медицинскую информацию, включая имена, адреса, номера социального страхования, данные о лечении и финансовую информацию тысяч людей.

В ходе расследования, проведенного Генеральной прокуратурой, было установлено, что компания Personal Touch не обеспечила разумных гарантий безопасности данных для защиты информации о пациентах и сотрудниках. Программа информационной безопасности и управления рисками компании Personal Touch была неформальной и незрелой. Не было проведено должного обучения персонала по вопросам безопасности, отсутствовал контроль доступа, отсутствовала система постоянного мониторинга, не было обеспечено шифрование персональных и медицинских данных.

В ходе расследования, проведенного OAG, компания Personal Touch была уведомлена об утечке информации от третьих лиц, которая затронула персональные данные ее сотрудников, включая номера социального страхования. Компания Personal Touch предоставила эти данные своему страховому брокеру, который передал их поставщику программного обеспечения для регистрации, компании Falcon Technologies, Inc. (Falcon), которая разместила эти данные на незащищенном сайте. У Personal Touch не было никаких соглашений со своим страховым брокером относительно стандартов безопасности данных, применимых к персональной информации, не подпадающей под действие HIPAA. OAG добилась заключения отдельного соглашения с компанией Falcon за то, что она не обеспечила защиту этой информации. По условиям соглашения Falcon с OAG, компания должна выплатить Нью-Йорку штрафные санкции в размере 100 тыс. долл. и обеспечить использование шифрования и надлежащего контроля доступа при работе с частной информацией. 

В результате сегодняшнего соглашения компания Personal Touch выплатит штрафные санкции в размере 350 тыс. долл. и предложит пострадавшим потребителям бесплатные услуги по защите от кражи персональных данных и их восстановлению. Кроме того, компания Personal Touch должна будет усовершенствовать свою программу информационной безопасности и внедрить меры по защите личной и медицинской информации своих сотрудников и пациентов, в том числе:

• Поддержание комплексной программы информационной безопасности, включающей регулярную оценку рисков, регулярное тестирование и мониторинг существующих средств защиты, а также регулярное обновление программы информационной безопасности;
• Поддержание разумных процедур контроля доступа и аутентификации;
• Шифрование личной и медицинской информации;
• Внедрение системы непрерывного протоколирования и мониторинга, средств защиты от вредоносного ПО, решения для обнаружения и предотвращения вторжений, фильтрации электронной почты и фишинга; 
• Разработка программы управления уязвимостями, включающей регулярное сканирование уязвимостей и тестирование на проникновение;
• Обновление практики сбора, хранения и уничтожения данных с целью обеспечения того, чтобы персональная и медицинская информация хранилась только в минимальном объеме, необходимом для достижения законных целей бизнеса;
• Проведение ежегодного обучения сотрудников по вопросам безопасности; и
• Установление разумных процедур управления поставщиками. 

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите персональных данных жителей Нью-Йорка и привлечению компаний к ответственности за некачественное обеспечение безопасности данных. На прошлой неделе генеральный прокурор Джеймс и многонациональная коалиция добились выплаты 49,5 млн. долл. от компании Blackbaud, занимающейся облачными технологиями, в связи с масштабной утечкой данных, затронувшей тысячи некоммерческих организаций. В сентябре генеральный прокурор Джеймс заключил соглашение с колледжем Marymount Manhattan College о выделении 3,5 млн. долл. на защиту данных студентов в Интернете. В мае этого года генеральный прокурор Джеймс добился от компании Sports Warehouse выплаты 300 000 долл. за то, что она не смогла защитить данные 2,5 млн. клиентов. Также в мае генеральный прокурор Джеймс взыскал 550 000 долл. с компании по управлению медицинскими услугами за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по защите данных, призванное помочь компаниям укрепить свои методы защиты информации. В декабре 2022 г. генеральный прокурор Джеймс взыскал 200 000 долл. с производителя студенческих шапок и платьев Herff Jones за неспособность защитить персональные данные потребителей. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,9 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой были скомпрометированы персональные данные миллионов потребителей. В июне 2022 г. генеральный прокурор Джеймс взыскал с компании Wegmans 400 тыс. долл. и потребовал от нее повысить безопасность хранения данных после того, как в результате утечки информации была раскрыта личная информация потребителей. В марте 2022 г. генеральный прокурор Джеймс выпустил предупреждение для потребителей, в котором рекомендовал клиентам компании T-Mobile принять соответствующие меры для защиты своей личной информации после утечки данных.

Этим вопросом занимались помощники генерального прокурора Ханна Бэк и Джина Джон при особой помощи бывшего аналитика по Интернету и технологиям Джо Грэма под руководством заместителя начальника Бюро Кларка Рассела и начальника Бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело и курирует первый заместитель генерального прокурора Дженнифер Леви.