Генеральный прокурор Джеймс взыскал 450 000 долларов с медицинской компании, предоставляющей услуги в Западном Нью-Йорке, за неспособность защитить данные пациентов

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня добилась взыскания 450 тыс. долл. с компании US Radiology Specialists, Inc. (US Radiology) за неспособность защитить личные и медицинские данные своих пациентов. US Radiology является партнером и поставщиком услуг для учреждений по всей стране, включая Windsong Radiology Group, которая имеет шесть офисов в западной части Нью-Йорка. В ходе расследования, проведенного Генеральной прокуратурой, было установлено, что US Radiology не уделяла первоочередного внимания модернизации своего оборудования, в результате чего сеть компании оказалась подвержена известной уязвимости, что привело к атаке вымогательского ПО, от которой пострадали более 92 тыс. жителей Нью-Йорка. В результате сегодняшнего соглашения US Radiology согласилась выплатить Нью-Йорку штрафные санкции в размере 450 тыс. долларов США, обновить свою ИТ-инфраструктуру, обеспечить надлежащую защиту своих сетей и обновить политику безопасности данных.

"Когда пациенты посещают медицинские учреждения, они должны быть уверены в том, что их персональные данные не будут скомпрометированы во время получения медицинской помощи", - сказал генеральный прокурор Джеймс. "US Radiology не смогла защитить данные жителей Нью-Йорка и была уязвима для атак из-за устаревшего оборудования. В условиях участившихся кибератак и более изощренных мошенничеств, направленных на кражу частных данных, я призываю все компании провести необходимую модернизацию и внести исправления в систему безопасности своего компьютерного оборудования и систем. Мой офис будет и впредь следить за тем, чтобы компании не пренебрегали своими юридическими обязанностями по защите частной информации жителей Нью-Йорка".

US Radiology - крупная частная радиологическая группа, предоставляющая управляемые услуги многим своим компаниям-партнерам, в том числе Windsong Radiology Group, имеющей шесть учреждений в западной части штата Нью-Йорк. US Radiology не смогла оперативно обновить свой межсетевой экран, чтобы защитить себя и сети своих компаний-партнеров от киберугроз. В декабре 2021 года злоумышленник получил доступ к сети US Radiology и похитил персональные и медицинские данные 198 260 пациентов, в том числе 92 540 жителей Нью-Йорка. Похищенная информация включала имена, даты рождения, номера социального страхования, водительские права, номера паспортов, идентификаторы пациентов, даты оказания услуг, имена врачей, типы радиологических исследований, диагнозы и/или идентификационные номера медицинских страховок.

По результатам расследования OAG пришла к выводу, что US Radiology не приняла разумных мер по обеспечению безопасности данных для защиты личной информации пациентов, поскольку не защитила свой брандмауэр от известной уязвимости.    

В рамках сегодняшнего соглашения US Radiology согласилась выплатить штрафные санкции в размере 450 тыс. долл. и внедрить дополнительные методы защиты данных для укрепления своей сети, в том числе:

• Усовершенствование и поддержка существующей письменной программы информационной безопасности, обеспечивающей безопасность, целостность и конфиденциальность личной информации пациентов;
• Создание и внедрение программы управления ИТ-активами для выявления, составления отчетов и определения приоритетов замены или обновления ИТ-активов;
• Шифрование личной информации пациентов, которую она собирает, хранит, передает и/или поддерживает;
• Разработка и поддержка программы тестирования на проникновение, которая регулярно выявляет и устраняет все уязвимости в системе безопасности, обнаруженные в ходе тестирования; и
• Внедрение политик и процедур, направленных на окончательное удаление персональных данных пациентов, если их сохранение не имеет разумной деловой цели.

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите личной информации жителей Нью-Йорка и привлечению компаний к ответственности за некачественную защиту данных. В октябре генеральный прокурор Джеймс добился выплаты 350 тыс. долл. компании Personal Touch, работающей в сфере здравоохранения на Лонг-Айленде, за неспособность обеспечить безопасность данных 300 тыс. жителей Нью-Йорка. Ранее в том же месяце генеральный прокурор Джеймс и многоштатная коалиция добились выплаты 49,5 млн. долл. от компании Blackbaud, занимающейся облачными технологиями, в связи с утечкой данных в 2020 г., в результате которой были раскрыты данные тысяч пользователей. В сентябре генеральный прокурор Джеймс заключил соглашение с колледжем Marymount Manhattan College о выделении 3,5 млн. долл. на защиту данных студентов в Интернете. Также в мае генеральный прокурор Джеймс взыскал 550 000 долл. с компании по управлению медицинскими учреждения ми за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по защите данных, призванное помочь компаниям укрепить свои методы защиты информации. В октябре 2022 г. генеральный прокурор Джеймс объявил о заключении соглашения на сумму 1,9 млн. долл. с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, в результате которой была скомпрометирована личная информация миллионов потребителей.

Этим делом занимались помощник генерального прокурора Марк Монтгомери и заместитель начальника бюро Кларк Рассел из Бюро Интернета и технологий под руководством начальника бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело. Отдел экономического правосудия курирует первый заместитель генерального прокурора Дженнифер Леви (Jennifer Levy).