Генеральный прокурор Джеймс заключил соглашение с поставщиком медицинских услуг долины Гудзон о вложении 1,2 миллиона долларов в защиту данных пациентов

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня объявила о заключении соглашения с компанией Refuah Health Center, Inc. (Refuah), расположенной в районе долины Гудзон, за неспособность обеспечить безопасность личной и частной медицинской информации своих пациентов. Генеральная прокуратура (OAG) установила, что Refuah не обеспечила надлежащий контроль для защиты и ограничения доступа к конфиденциальным данным, в том числе не зашифровала информацию о пациентах и не использовала многофакторную аутентификацию. В результате плохой защиты данных в Refuah произошла атака с использованием вымогательского ПО, в результате которой была скомпрометирована личная и частная информация примерно 250 000 жителей Нью-Йорка. Согласно сегодняшнему соглашению, Refuah должна инвестировать 1,2 миллиона долларов в укрепление своей кибербезопасности и выплатить 450 тысяч долларов в качестве штрафов и издержек.  

"Жители Нью-Йорка должны получать медицинскую помощь и быть уверенными в том, что их личная и медицинская информация находится в безопасности", - сказал генеральный прокурор Джеймс. "Это соглашение гарантирует, что Refuah предпринимает необходимые шаги для защиты данных пациентов и при этом предоставляет доступное медицинское обслуживание. Надежная защита данных крайне необходима в современный цифровой век, и мой офис будет продолжать защищать данные жителей Нью-Йорка от компаний, не обеспечивающих надлежащую кибербезопасность".

Refuah - медицинская организация, управляющая тремя медицинскими учреждениями и пятью передвижными медицинскими фургонами в долине Гудзона. В мае 2021 года Refuah подверглась атаке с использованием выкупного ПО, в результате которой киберзлоумышленники получили доступ к данным тысяч пациентов. В Refuah установили, что злоумышленники получили доступ к файлам, содержащим имена, адреса, номера телефонов, номера социального страхования, водительские права, даты рождения, номера финансовых счетов, номера медицинских страховок и различную информацию, связанную со здоровьем. По результатам расследования OAG пришла к выводу, что злоумышленники смогли получить доступ к этим данным, потому что Refuah не приняла надлежащих мер по обеспечению безопасности данных для защиты личной и медицинской информации пациентов. Компания Refuah не вывела из эксплуатации неактивные учетные записи пользователей, не проверила учетные данные пользователей, не ограничила доступ сотрудников только к тем ресурсам и данным, которые необходимы для выполнения их рабочих функций, не использовала многофакторную аутентификацию и не зашифровала информацию о пациентах.  

В результате сегодняшнего соглашения Refuah согласилась инвестировать 1,2 миллиона долларов в разработку и поддержание более сильных программ информационной безопасности для лучшей защиты данных пациентов. Соглашение также обязывает медицинское учреждение: 

• Поддерживать комплексную программу информационной безопасности, направленную на защиту безопасности, конфиденциальности и целостности информации о потребителях;  
• Внедряйте и поддерживайте политику и процедуры, ограничивающие доступ к информации о потребителях;  
• Требуйте использования многофакторной аутентификации для удаленного доступа к ресурсам и данным; 
• Регулярно меняйте учетные данные, используемые для доступа к ресурсам и данным; 
• Проводите аудиторские проверки не реже одного раза в полгода, чтобы убедиться, что пользователи имеют доступ только к ресурсам и данным, необходимым для выполнения их рабочих функций;  
• Шифруйте всю информацию о потребителях, независимо от того, хранится она или передается;  
• Внедрить средства контроля для мониторинга и регистрации всех действий по обеспечению безопасности и операционной деятельности в сетях и системах компании; и  
• Разработать, внедрить и поддерживать в рабочем состоянии комплексный план реагирования на инциденты.   

Refuah также должна выплатить штату 450 000 долларов в виде штрафов и издержек, из которых 100 000 долларов будут приостановлены, когда компания потратит 1,2 миллиона долларов на разработку и поддержание программы информационной безопасности. 

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите личной информации жителей Нью-Йорка и привлечению компаний к ответственности за несоблюдение правил безопасности данных. В декабре генеральный прокурор Джеймс взыскал 400 000 долларов скомпании Healthplex, Inc., предоставляющей стоматологическую страховку, за неспособность защитить частную информацию потребителей. В ноябре генеральный прокурор Джеймс взыскал 450 000 долларов с компании U.S. Radiology за неспособность защитить данные пациентов. В октябре генеральный прокурор Джеймс взыскал 350 000 долларов с медицинской компании Personal Touch на Лонг-Айленде за неспособность защитить данные 300 000 жителей Нью-Йорка. Также в октябре генеральный прокурор Джеймс и многоштатная коалиция добились от облачной компании Blackbaud выплаты 49,5 млн долларов за утечку данных, в результате которой в 2020 году были раскрыты данные тысяч пользователей. В сентябре генеральный прокурор Джеймс заключил соглашение с колледжем Marymount Manhattan College о выделении 3,5 млн долларов на защиту данных студентов в Интернете. В мае генеральный прокурор Джеймс взыскал 550 000 долларов с компании по управлению медицинскими учреждения ми за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по безопасности данных, чтобы помочь компаниям укрепить свои методы защиты данных.  

Этим делом занимались старший юрисконсульт Джордан Адлер и заместитель начальника бюро Кларк Рассел из Бюро интернета и технологий под руководством начальника бюро Кима Бергера. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело. Отдел экономического правосудия курирует первый заместитель генерального прокурора Дженнифер Леви.