Ένας αμερικανικός πάροχος ασφάλειας υγείας συμφώνησε να πληρώσει 5,1 εκατομμύρια δολάρια στο Γραφείο Πολιτικών Δικαιωμάτων (OCR), στο Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) για παραβίαση δεδομένων που οδήγησε και σε πιθανή παραβίαση του Νόμου περί φορητότητας και λογοδοσίας για την ασφάλιση υγείας (HIPAA) .
Ο πάροχος ασφάλειας υγείας είναι η Excellus Health Plan, Inc. και το πρόστιμο που καλείται να πληρώσει, σχετίζεται με μια παραβίαση δεδομένων που διήρκεσε 17 μήνες και λέγεται ότι επηρέασε περισσότερα από 9,3 εκατομμύρια άτομα.
Η Excellus έχει την έδρα της στη Νέα Υόρκη και παρέχει υπηρεσίες και ασφάλειες υγείας σε περισσότερα από 1,5 εκατομμύριο άτομα στην περιφέρεια και τη δυτική Νέα Υόρκη.
Η παραβίαση δεδομένων, για την οποία επιβλήθηκε το πρόστιμο, αποκαλύφθηκε από την Excellus στις 9 Σεπτεμβρίου του 2015. Η εταιρεία είχε πει τότε ότι κάποιοι μη εξουσιοδοτημένοι χρήστες είχαν αποκτήσει πρόσβαση στα IT συστήματά της.
Σύμφωνα με τις έρευνες, η παραβίαση ξεκίνησε στις 23 Δεκεμβρίου 2013 (ή και πιο πριν) και συνεχίστηκε μέχρι τις 11 Μαΐου 2015. Οι επιτιθέμενοι μπήκαν στα συστήματα του παρόχου ασφάλειας υγείας και εγκατέστησαν κακόβουλο λογισμικό, που τους επέτρεψε να αποκτήσουν πρόσβαση σε προσωπικές πληροφορίες και στοιχεία υγείας 9,3 εκατομμυρίων ατόμων.
Τα στοιχεία που εκτέθηκαν, περιελάμβαναν: ονόματα, διευθύνσεις, ημερομηνίες γέννησης, διευθύνσεις email, αριθμούς κοινωνικής ασφάλισης, στοιχεία τραπεζικού λογαριασμού, προγράμματα υγείας και πληροφορίες θεραπείας.
Η έρευνα του Γραφείου Πολιτικών Δικαιωμάτων διαπίστωσε πιθανές παραβιάσεις των κανόνων HIPAA, όπως αποτυχίες στη διαχείριση κινδύνων, στην επισκόπηση της δραστηριότητας συστημάτων πληροφοριών κ.ά.
Σύμφωνα με τον Roger Severino, διευθυντή του OCR, το hacking αποτελεί τη μεγαλύτερη απειλή για το απόρρητο και την ασφάλεια των πληροφοριών υγείας των ατόμων. Στην περίπτωση της Excellus, οι επιτιθέμενοι βρίσκονταν μέσα στα συστήματα για περισσότερο από έναν χρόνο, θέτοντας σε κίνδυνο εκατομμύρια ανθρώπους, που είχαν επιλέξει το συγκεκριμένο πάροχο ασφάλειας υγείας.
“Γνωρίζουμε ότι οι πιο επικίνδυνοι hackers είναι εξελιγμένοι, υπομονετικοί και επίμονοι. Οι φορείς υγειονομικής περίθαλψης πρέπει να προστατεύσουν το απόρρητο και τις πληροφορίες υγείας των ανθρώπων από αυτήν την αυξανόμενη απειλή“, είπε ο Severino.
Πέρα από το πρόστιμο, η Excellus συμφώνησε να εφαρμόσει και ένα διορθωτικό σχέδιο δράσης που θα περιλαμβάνει υπηρεσίες monitoring στους πελάτες για δύο χρόνια.
Πηγή: Infosecurity Magazine