Banner Health ukarane grzywną w wysokości 1,25 miliona dolarów na skutek naruszenia jej cyberbezpieczeństwa

Biuro ds. Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych osiągnęło ugodę w wysokości i nałożyło  1,25 miliona dolarów z systemem opieki zdrowotnej Banner Health po incydencie z 2016 roku, podczas którego doszło do naruszenia cyberbezpieczeństwa firmy oraz kradzieży danych jej pracowników i pacjentów.

Banner Health ukarane grzywną – nietypowy finał ataku hakerskiego

Przypadek Banner Health jest dość nietypowy, ponieważ nie wszystkie przedsiębiorstwa, które ucierpiały w wyniku naruszenia ochrony danych, są karane grzywną. Niestety na niektóre spółki zostaje nałożona wysoka kara finansowa za rażące błędy wynikające z niezapewnienia odpowiedniego poziomu ochrony danych swoich klientów i pracowników. Właśnie z taką sytuacją musiała się zmierzyć ta amerykańska firma.

Banner Health jest systemem opieki zdrowotnej typu non-profit. Spółka naruszyła ustawę HIPAA (Health Insurance Portability and Accountability Act) obejmującą wymagania dotyczące zabezpieczenia informacji i danych przed cyberatakami.

Zgodnie z treścią ugody opublikowanej przez OCR, Banner Health nie zapewniło niezbędnej ochrony krytycznym danym osobowym swoich pracowników i pacjentów.

„Potencjalne naruszenia obejmują w szczególności: brak analizy w celu określenia zagrożeń i podatności na elektroniczne chronione informacje zdrowotne w całej organizacji, niewystarczające monitorowanie działania jej systemów informacji zdrowotnej w celu ochrony przed cyberatakami oraz brak wdrożenia procesu uwierzytelniania w celu zabezpieczenia swoich chronionych informacji zdrowotnych” – czytamy w komunikacie prasowym OCR.

Poważne następstwa naruszenia cyberbezpieczeństwa 

W listopadzie 2016 r. hakerzy wykradli chronione informacje zdrowotne, w tym nazwiska pacjentów, nazwiska lekarzy, daty urodzenia, adresy, numery ubezpieczenia społecznego, dane kliniczne, daty świadczenia usług, informacje o roszczeniach, wyniki badań laboratoryjnych, spisy przyjmowanych leków, diagnozy na temat schorzeń pacjentów oraz informacje o ubezpieczeniu zdrowotnym.

Ugoda w wysokości 1,25 miliona dolarów to nie jedyne zmartwienie amerykańskiej firmy. Banner Health ukarano grzywną oraz nałożono obowiązek przeprowadzenia audytu ryzyka. Przedsiębiorstwo musi także ustalić, czy istnieją inne luki w zabezpieczeniach oraz naprawić wszelkie wykryte problemy związane z cyberbezpieczeństwem. Spółka została również zobligowana do opracowania i wdrożenia zasad, które pozwolą zapobiec przyszłym włamaniom. Oprócz tego pracownicy odpowiedzialni za cyberbezpieczeństwo firmy będą pod nadzorem Departamentu Zdrowia i Opieki Społecznej.

„W ostatnich latach zaobserwowaliśmy znaczący wzrost cyberataków wymierzonych w placówki i firmy medyczne. Kary przewidziane za nieodpowiednie zabezpieczenie danych są coraz wyższe, co jest szczególnie widoczne na terenie Unii Europejskiej, gdzie nierzadko sięgają dziesiątek milionów euro. Dlatego zachęcamy wszystkich przedsiębiorców do tego, aby stale monitorowali poziom cyberbezpieczeństwa swojej firmy i korzystali z najnowszych technologii takich, jak XDR, EDR i MDR” – stwierdził Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender.