Защитники от утечек информации потеряли персональные данные

Калифорнийская юридическая фирма Orrick, Herrington & Sutcliffe подтвердила, что в результате кибератаки были скомпрометированы персональные данные клиентов. В общей сложности утекли персональные данные 637 тыс. человек.

Кибератаку на свои системы компания Orrick, Herrington & Sutcliffe выявила в марте 2023 г. В конце июня в управление по гражданским правам министерства здравоохранения и социальных служб (HHS) поступило сообщение об утечке данных, которая затронула 40 823 человека. В июле юридическая фирма подала в генеральную прокуратуру штата Мэн уведомление о том, что весенний инцидент затронул данные 152 818 человек. Уже в середине августа компания отправила прокурору обновленное уведомление, согласно которому количество пострадавших увеличилось до 461 100 человек. В конце 2023 года фирма отправила властям отчет, где сообщала, что всего утекли данные 637 620 человек. Похоже, это окончательное количество пострадавших, поскольку в Orrick, Herrington & Sutcliffe заявили, что не планируют предоставлять уведомления от каких-либо пострадавших предприятий.

Среди услуг, которые предоставляет фирма Orrick, Herrington & Sutcliffe, есть юридические консультации для компаний, пострадавших от инцидентов безопасности и утечек данных, включая услуги по соблюдению нормативных требований, в том числе отправку уведомлений государственным органам и тем лицам, чьи данные были скомпрометированы. 
Судя по всему, многие люди, которые пострадали от утечки информации из Orrick, Herrington & Sutcliffe, лишились своих данных во многих инцидентах из других компаний. Например, повторно пострадали пациенты, имеющие планы защиты зрения от EyeMed Vision Care, стоматологические сервисы от Delta Dental, а также медицинские страховки от MultiPlan и Beacon Health Options (Carelon). Еще одним пострадавшим клиентом стала Ассоциация малого бизнеса США.

Известно, что в ответ на уведомления об утечке данных из Orrick, Herrington & Sutcliffe было подано несколько коллективных исков. Четыре из этих заявлений содержали схожие претензии, поэтому были объединены в коллективный иск в федеральный суд штата Калифорния. В частности, истцы утверждали, что юридическая фирма должна была быть хорошо осведомлена о рисках, связанных с атаками, в которых используются вирусы-вымогатели, а также с последствиями утечек информации, о которых писали СМИ и сообщало Федеральное бюро расследований. Кроме того, фирма знала, что утечкам данных подвергались многие из ее клиентов. В иске утверждается, что кибератаку и утечку данных можно и нужно было предотвратить, если бы фирма Orrick, Herrington & Sutcliffe приняла необходимые меры кибербезопасности и следовала лучшим мировым практикам защиты информации.

Представители Orrick, Herrington & Sutcliffe сообщили, что принципиальная договоренность о мировом соглашении с истцами уже достигнута. Ожидается, что его детали будут обнародованы в январе 2024 г.

Источник: The HIPAA Journal