Πρόστιμο ύψους 1 εκατομμυρίου δολαρίων επιβλήθηκε στην αμερικανική εταιρεία ασφάλισης “Aetna”, για τρεις παραβιάσεις δεδομένων που σημειώθηκαν σε περίοδο έξι μηνών το 2017. Η Aetna συμφώνησε στο πρόστιμο και στην έγκριση ενός σχεδίου διορθωτικών μέτρων για την επίλυση ενδεχόμενων παραβιάσεων των κανόνων απορρήτου και ασφάλειας του νόμου περί Φορητότητας και και Υπευθυνότητας Ασφάλισης Υγείας (HIPAA). Η πληρωμή θα κατατεθεί στο Γραφείο Πολιτικών Δικαιωμάτων (OCR) στο Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS).
Στις 27 Απριλίου 2017, η αμερικανική εταιρεία ασφάλισης ανακάλυψε ότι δύο διαδικτυακές υπηρεσίες που χρησιμοποιούσε για την εμφάνιση εγγράφων σχετικών με το σχέδιο σε μέλη του προγράμματος υγείας, είχαν επιτρέψει έγγραφα να είναι προσβάσιμα χωρίς credentials σύνδεσης. Ως αποτέλεσμα αυτής της παραβίασης, εκτέθηκαν ευαίσθητα κι εμπιστευτικά δεδομένα πάνω από 5.000 ατόμων. Οι προστατευόμενες πληροφορίες υγείας (PHI) που αποκαλύφθηκαν στο περιστατικό περιλάμβαναν ονόματα, αριθμούς ταυτοποίησης ασφάλισης, στοιχεία πληρωμής, κωδικούς υπηρεσίας και ημερομηνίες υπηρεσίας.
Η Aetna υπέστη μια δεύτερη παραβίαση δεδομένων στις 28 Ιουλίου 2017, όταν οι ειδοποιήσεις παροχών που αποστέλλονται στα μέλη σε φακέλους παραθύρων εμφάνισαν τις λέξεις “φάρμακα HIV” δίπλα στο όνομα και τη διεύθυνση του μέλους. Μια αναφορά παραβίασης που υποβλήθηκε στο OCR τον Αύγουστο ανέφερε ότι περίπου 12.000 άτομα επηρεάστηκαν από αυτήν την αποκάλυψη.
Η τρίτη παραβίαση του 2017 που έπληξε την Aetna έλαβε χώρα στις 25 Σεπτεμβρίου, όταν μια ερευνητική μελέτη που έστειλε στα μέλη έδειξε το όνομα και το λογότυπο της ερευνητικής μελέτης κολπικής μαρμαρυγής στην οποία συμμετείχαν. Η Aetna ανέφερε το Νοέμβριο του 2017 ότι 1.600 άτομα επηρεάστηκαν από αυτήν την παραβίαση.
Η έρευνα του OCR για τις παραβιάσεις δεδομένων διαπίστωσε ότι εκτός από τις ανεπιθύμητες αποκαλύψεις, η Aetna απέτυχε να πραγματοποιήσει περιοδικές τεχνικές και μη τεχνικές αξιολογήσεις των λειτουργικών αλλαγών που επηρεάζουν την ασφάλεια των PHI.
Ο James McQuiggan, δικηγόρος στο τμήμα ευαισθητοποίησης ασφαλείας της KnowBe4, ανέφερε στο Infosecurity Magazine ότι οι οργανισμοί πρέπει να διαθέτουν ένα ισχυρό πρόγραμμα εκπαίδευσης για την ευαισθητοποίηση πάνω στην ασφάλεια, ώστε να βοηθούν τους υπαλλήλους να λαμβάνουν πιο έξυπνες αποφάσεις ασφαλείας για να προστατεύουν έναν οργανισμό από διάφορες μορφές επιθέσεων.
