Три миллиона за две утечки

Сеть клиник Cottage Health из штата Калифорния оштрафована на $3 млн за утечки защищенной медицинской информации. Такое решение вынесло управление по гражданским правам (OCR) министерства здравоохранения и социальных служб США.

Соглашение OCR с Cottage Health было достигнуто в конце 2018 г. Медицинская организация заплатит крупный штраф за нарушения, допущенные в декабре 2013 г. и декабре 2015 г. В первом случае защищенная информация оказалась скомпрометирована из-за неправильной конфигурации ОС Windows сервера Cottage Health. Любой, кто имел доступ к сетевому хранилищу, мог узнать имена, адреса, даты рождения пациентов, а также их диагнозы, сведения о состоянии здоровья, результаты лабораторных исследований и другие данные. Второе нарушение произошло после того, как ИТ-служба клиники неверно настроила сервер в процессе устранения неполадок. В результате через Интернет вновь стали доступны чувствительные данные пациентов: имена, адреса, даты рождения, номера социального страхования, диагнозы и другая информация о лечении.

Обе утечки затронули в общей сложности 62,5 тыс. пациентов. Расследование OCR показало, что Cottage Health не удалось провести адекватную оценку потенциальных рисков и уязвимостей в ходе обеспечения конфиденциальности, целостности и доступности электронной защищенной информации о состоянии здоровья. Кроме того, сеть клиник не смогла предпринять меры безопасности, необходимые для снижения рисков.

Помимо выплаты штрафа в размере $3 млн, Cottage Health в рамках соглашения обязуется выполнить план корректирующих мероприятий в области ИБ.