行业新闻
纽约律师事务所因未能保护数据被罚款 20 万美元
- 2023年3月31日
- 作者: 安鸾网络
- 分类目录 新闻资讯
纽约一家律师事务所因未能保护约11.4万名患者的隐私和电子健康信息,同意向州政府支付200,000美元的罚款。
数据被盗是怎么发生的?
Heidell,Pittoni,Murphy and Bach(HPMB)在诉讼中代表纽约市地区的医院,并维护患者的敏感私人信息,包括出生日期、社会安全号码、健康保险信息、病史和/或健康治疗信息。
在2021年11月,攻击者能够利用HPMB的混合交换管理服务器中的一个漏洞访问该公司的系统。去年12月,攻击者在HPMB的系统上部署了Lockbit勒索软件变种。
Microsoft在几个月前发布了此漏洞的修补程序,但HPMB未及时应用这些修补程序,使此漏洞暴露于潜在的利用。
2021年12月,一名攻击者在HPMB的系统上部署了恶意软件,导致该公司的电子邮件系统中断。在随后的调查中,HPMB发现数以万计的文件可能已从其系统中被窃取。
根据总检察长办公室的调查结果,该公司“支付了100,000美元的赎金以换取回报,并承诺删除泄露的数据,但没有提供数据被删除的证据”。
在2022年5月,HPMB开始通知受影响的消费者,他们的个人信息在事件中被泄露。
处罚
纽约总检察长办公室确定,HPMB未能在多个领域采取合理做法来保护消费者的个人信息。
HPMB的数据安全故障不仅违反了州法律,还违反了HIPAA。该公司未能采取HIPAA要求的几项措施,由于其与医院和医院的业务关系,HPMB被覆盖,包括对其系统进行定期风险评估,加密其服务器上的私人信息,并采取适当的数据最小化做法。
根据该协议,HPMB必须向该州支付20万美元的罚款,并采取措施更好地保护其客户患者的个人和私人健康信息,包括:
维护全面的信息安全计划,包括定期更新以跟上技术和安全威胁的变化,并向公司领导层报告安全风险;
对其收集、使用、存储和维护的私人和健康信息进行加密;
实施网络活动的集中日志记录和监控,包括易于访问至少 90 天的日志,并从记录活动之日起至少存储一年;
建立合理的补丁管理计划,包括适当监控所需的更新、监督程序和培训员工;
制定渗透测试计划,包括定期测试HPMB的网络安全;和
更新其数据收集和保留做法,包括仅在执行合法业务功能所需的最小范围内收集数据,并在不再有合理的业务或法律目的保留此类信息时永久删除所有此类数据。
“机密的患者信息应该小心处理并在线保护,以保护纽约人免受身份盗用和欺诈。负责保护这些信息的机构有责任。