Practicefirst因大规模数据泄露事件被罚款55万美元

重点总结

Practicefirst医疗管理解决方案与PBSMedcode因未能及时修补已知漏洞，导致大规模数据泄露，需向纽约州支付550,000美元的罚款。此次数据泄露影响了超过120万名个人，其中有428,000名居民住在纽约。

除了罚款外，协议还要求Practicefirst加强其数据安全措施，并为受影响的消费者提供免费信用监控服务。

Practicefirst负责医疗提供者的数据处理、账单和编码服务，近期还与一些公司如和等面临类似的执法行动。

在2020年12月25日，被部署，但在此之前，攻击者已经通过Practicefirst网络获取并盗取了大量患者和员工文件。公司的调查发现，黑客盗取了79,000份文件，其中包含患者的社会安全号码、驾驶执照、诊断、药物、财务数据和出生日期。

此次针对Practicefirst的网络攻击及后续数据外泄事件是。

在泄露通知后，纽约州律师办公室（OAG）展开调查，发现Practicefirst网络上的被盗数据未加密。

尽管《健康保险携带与问责法案》并未强制要求加密，但实体在选择不加密时需实施相应政策或解释为何“不合理或不适当”。

此外，OAG还发现此次黑客攻击是由于未能及时修补其防火墙中的关键漏洞，而该漏洞的供应商在2019年1月就提供了软件更新——距离攻击发生近两年。Practicefirst还未能进行渗透测试、漏洞扫描或其他安全测试，导致这些普遍的安全问题未得到识别。

因此，威胁者“利用了防火墙中的关键漏洞，成功入侵了Practicefirst的系统”，随后部署勒索软件并外泄存储患者信息的文件。更有甚者，“几天后，包含13名消费者个人信息的截屏在黑暗网络上被发现。”

州审计确认，Practicefirst未能“维持合理的数据安全措施”，包括未能保持适当的补丁管理流程、定期测试系统，及加密存储在其服务器上的个人数据。

纽约州律师Leticia James在声明中表示：“每一家负责维护和处理患者数据的公司都应认真对待保护个人信息，特别是健康记录的责任。”

州协议要求Practicefirst维持全面的信息安全项目，加密私人和健康数据，并实施补丁管理解决方案以确保及时更新，另外在适当情况下采用多因素身份验证等有效的帐户管理和身份验证程序。

Practicefirst还必须制定漏洞管理计划，包括定期扫描安全缺陷和渗透测试，以及对已识别的漏洞进行有效修复。

此次和解还要求公司更新其数据保留计划，确保“私人健康信息仅在完成合法商业目的所需的最低范围内保持。”

正如报道的那样，医疗行业因多种原因面临数据保留政策的困境。法律和合规团队往往会对保留采取不同的态度，一些部门希望无论风险如何都保留所有数据。

这是过去一周内的