Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Пластический хирург заплатит крупный штраф за кибератаку
Клиника пластической хирургии в Южной Дакоте подверглась кибератаке с помощью программы-вымогателя, вследствие чего ее владелец был оштрафован регулятором на 500 тыс. долларов за нарушение требований закона HIPAA (Health Insurance Portability and Accountability Act).
Хакер с помощью вируса-вымогателя совершил кибератаку и заблокировал девять рабочих станций и два сервера клиники пластической хирургии Plastic Surgery Associates of South Dakota (PSASD) в Южной Дакоте. В итоге ее владелец, Джеймс Брейт, выплатил вымогателю $53 000 за восстановление доступа к данным, а спустя почти семь лет спустя Министерство здравоохранения и социальных служб США (HHS) назначило ему штраф в размере $500 000. По словам владельца, киберпреступник обошелся с ним лучше, чем федеральный регулятор. Владелец также сообщил, что персональные данные пациентов в итоге не были скомпрометированы, а страховая компания выплатила сумму компенсации.
В соответствии с соглашением об урегулировании, которое Министерство опубликовало на днях, клиника должна выплатить штраф в размере $500 000 и принять меры по повышению кибербезопасности данных. В документе говорится, что расследование инцидента ИБ показало, что злоумышленники получили учетные данные для доступа к сети клиники с помощью атаки методом подбора пароля к удаленному рабочему столу. В документе также указано о существенных нарушениях законодательства: клиника не внедрила меры безопасности для снижения рисков и уязвимостей, не разработала политики и процедуры для регулярной проверки активности в своих информационных системах, содержащих медицинские персональные данные, а также не внедрила политики и процедуры по реагированию на инциденты ИБ.
По данным регулятора, с 2018 года количество крупных нарушений, связанных с атаками программ-вымогателей, выросло на 264%. Подобные кибератаки часто выявляют скрытые нарушения требований по безопасности HIPAA, таких как управление рисками и уязвимостями в отношении медицинской информации.
В прошлом году инциденты ИБ с программами-вымогателями были названы одним из главных приоритетов HIPAA, и тогда же произошел первый прецедент выплаты подобного штрафа: группа компаний Doctors Management Group согласилась на компенсацию в размере $100 000 и трехлетний мониторинг соблюдения требований HIPAA после расследования подобного инцидента ИБ. Кибератака произошла в 2019 году и затронула тогда 206 700 человек.