Компания Premera, работающая в сфере медицинского страхования, получила второй по величине штраф в истории за нарушение закона HIPAA. Управление гражданских прав американского Министерства здравоохранения и социальных служб оштрафовала компанию на 6,85 млн. долларов.
Premera Blue Cross – это некоммерческая страховая компания, имеющая лицензию Blue Cross Blue Shield и базирующаяся в городе Маунтлейк Террас. В 2014 году в компании произошла утечка данных, которая повлияла на защищенные законом медицинские данные (PHI) 10,4 миллиона человек.
Тогда хакерской группировкой была проведена целевая фишинговая кампания для получения доступа к внутренней сети компании Premera. В результате чего киберпреступники получили полный доступ к персональной информации сотрудников и пациентов:
- имена;
- адреса;
- даты рождения;
- email-адреса;
- номера социального страхования;
- сведения о банковских счетах;
- клинические данные о планах медицинского обслуживания пациентов.
Предполагается, что взлом произошел в мае 2014 г., но сотрудники безопасности Premera не могли обнаружить присутствие хакеров во внутренней сети компании вплоть до января 2015 г. Только в марте 2015 г. представители Premera сообщили в Управление гражданских прав (OCR) о случившейся утечке данных.
После проведенного расследования сотрудники Управления гражданских прав выяснили, что во внутренней сети и регламенте информационной безопасности компании Premera имеет место "системное несоблюдение правил HIPAA" (Акт о мобильности и подотчетности медицинского страхования).
К недостаткам системы безопасности компании Premera, которые были выявлены экспертами, относятся:
- пренебрежительное отношение к процессам проведения всестороннего и точного анализа для выявления всех рисков для конфиденциальности, целостности и доступности ePHI;
- непринятие мер по снижению рисков и уязвимостей электронной PHI «до разумного и надлежащего уровня».
Компания Premera согласилась с решением комиссии и заплатит штраф в 6,85 млн. долларов, а также внедрит «надежный план корректирующих действий», который включает двухлетний мониторинг. В соответствии с соглашением, компания должна разработать план анализа рисков и пересматривать его не реже одного раза в год.
