发布时间:2023-03-31 14:47:37 来源:本站 作者:admin
一家遭受LockBit勒索软件攻击的纽约律师事务所同意向纽约总检察长支付20万美元的罚款,以解决涉嫌违反《纽约一般商业法》和《健康保险可携带性和责任法案》(HIPAA)的隐私和安全规则的问题。
Heidell, Pittoni, Murphy & Bach LLP (HPMB)是一家总部位于纽约市的医疗事故律师事务所。在2021年圣诞节前后,LockBit勒索软件团伙进入了其网络并加密了文件。调查证实,包括法律文件、病人名单和医疗记录在内的文件在攻击中被泄露。患者信息包括姓名、生日、病史、治疗信息、社会保险号和健康保险信息。该事件于2022年5月16日报告给卫生与公众服务部的民权办公室,影响114,979人。HPMB聘请了一家第三方勒索软件补救公司与威胁行动者进行谈判,最终支付了10万美元的密钥来解密文件并防止被盗数据的泄露。调查证实,LockBit团伙于2021年11月利用未打补丁的Microsoft Exchange漏洞进入了其网络。
纽约总检察长办公室对该事件进行了调查,以确定该律师事务所是否违反了州法律和HIPAA规则。纽约AG确定,微软于2021年4月和5月发现了LockBit团伙利用的漏洞,并在此后不久发布了修补这些漏洞的补丁。尽管这些漏洞众所周知,但它们已经超过6个月没有修补,这使得该公司的电子邮件服务器容易受到攻击。
纽约法院认定,该公司违反了HIPAA隐私和安全规则的17项规定,而且未能实施合理的安全措施来保护私人信息,未能及时向61,438名纽约居民发出通知,也违反了纽约一般商业法。
涉嫌违反HIPAA的行为包括:
•未能保护受电子保护的健康信息。
•未能对ePHI合理预期的威胁进行保护。
•未能审查和修改数据保护实践。
•未能进行准确和彻底的风险评估。
•未能实施适当的安全措施以降低ePHI的风险。
•未能定期审查信息系统活动记录。
•未能实施足够的程序来防范、检测和报告恶意软件。
•未能实施足以定期测试和修订应急计划的程序。
•未能定期进行技术和非技术评估。
•未能充分实施ePHI的技术政策和程序,以限制未经授权的个人访问。
•ePHI加密失败。
•未能为信息系统实施集中式日志记录系统,从而使未经授权的系统活动被检测到。
•未能实施检测ePHI变更或破坏的系统。
•未能实施足够的程序来验证寻求访问ePHI的个人或实体是声称的那个人。
•未能实施合理和适当的政策和程序,以遵守45 C.F.R.第164部分,子部分C的标准。
•无法阻止未授权访问ePHI。
•未能遵守最低必要标准。
除了支付罚款,HPMB还同意实施一项全面的信息安全计划,其中包括至少每年进行一次风险分析,实施适当的行政、技术和物理保障措施,并对这些保障措施进行定期测试。HPMB将任命一名首席信息安全官(CISO),加密所有静止和传输中的ePHI,实施集中式日志记录系统,进行系统活动审查,建立补丁管理程序,并开发渗透测试程序。
“纽约人不应该担心他们的隐私被侵犯,他们的敏感信息被不当处理,”司法部长莱蒂夏·詹姆斯(Letitia James)说。“患者的机密信息应该小心处理,并在网上保护好,以保护纽约人免受身份盗窃和欺诈。负责保护这些信息的机构有责任正确处理这些信息,并向当局和纽约市民通报违规情况。公司可以也应该加强数据安全措施,保护消费者的数字数据,否则他们就等着听我办公室的意见吧。”