Сеть здравоохранения выплатит крупный штраф за утечку информации

PIH Health, региональная сеть здравоохранения США, выплатит федеральным регулирующим органам 600 000 долларов за утечку информации, допущенную в результате фишинговой атаки.

PIH Health включает три больницы в Калифорнии и обслуживает, в том числе, округ Лос-Анджелеса. Инцидент с утечкой информации произошел почти шесть лет назад. В результате фишинговой атаки были взломаны 45 учетных записей электронной почты сотрудников. Инцидент информационной безопасности затронул медицинскую информацию почти 190 000 человек, включая имена, адреса, даты рождения, номера социального страхования, водительских прав, диагнозы и результаты лабораторных исследований, лекарства, информацию, а также финансовую информацию.

Согласно закону HIPAA (Health Insurance Portability and Accountability Act), об утечках информации медицинского характера, затрагивающих более 500 человек, должно быть сообщено в HHS OCR (Department of Health and Human Services, Office for Civil Rights) в течение 60 дней с момента обнаружения. Пострадавшие лица и СМИ также должны быть уведомлены об инциденте ИБ в течение 60 дней. PIH Health подала отчет об утечке только через 7 месяцев после инцидента ИБ. Помимо задержки уведомления, расследование выявило другие нарушения законодательства, включая отсутствия анализа рисков безопасности.

Помимо выплаты штрафа, PIH Health будет обязана:

• Провести анализ рисков и уязвимостей для конфиденциальности, целостности и доступности информации.
• Разработать и внедрить план по устранению и минимизации рисков.
• Разрабатывать и пересматривать по мере необходимости политики и процедуры для соответствия требованиям закона HIPAA.
• Провести обучение своих сотрудников, имеющих доступ к конфди информации о состоянии здоровья, политике и процедурах HIPAA.

Данные меры стали уже 12-м случаем применения HIPAA к организациям здравоохранения в 2025 году.