OCR 對 Premera 公司數據泄露處以 685 萬美元的罰款
華盛頓州的一家健康保險公司遭到了有史以來第二大HIPAA違規處罰。
衛生與公眾服務部公民權利辦公室(OCR)已對Premera Blue Cross處以685萬美元的罰款,以解決可能違反1996年《健康保險攜帶與責任法案》(HIPAA)的行為。
Premera Blue Cross是位于Mountlake Terrace的一家非營利性Blue Cross Blue Shield許可健康保險公司。2014年,該公司遭受了數據泄露,影響了1,040萬人的受保護健康信息(PHI)。
一個高級持續威脅(APT)小組成功地使用魚叉式網絡釣魚攻擊來訪問Premera的計算機系統。在九個月的過程中,該小組訪問了包括Premera客戶的姓名,地址,出生日期,電子郵件地址,社會保險號,銀行帳戶信息和健康計劃臨床信息在內的數據。
黑客在2014年5月入侵了Premera,但直到2015年1月,公司才發現他們的活動。兩個月后,OCR收到數據泄露通知。
在調查了安全事件之后,OCR根據Premera Blue Cross的HIPAA規則確定了“系統不合規”。
調查人員發現的失敗包括忽略進行全面而準確的風險分析,以識別出對ePHI的機密性,完整性和可用性的所有風險,并且沒有采取措施將電子PHI的風險和脆弱性降低到合理和適當的水平。
進一步發現,Premera在2015年3月8日之前未能實現足夠的硬件,軟件和程序機制來記錄和分析與包含ePHI的信息系統有關的活動。
Premera已同意支付685萬美元并實施一項“強有力的糾正行動計劃”,其中包括兩年的監督。根據協議,公司必須制定風險分析計劃,并至少每年對其進行一次審查。
OCR主管Roger Severino說:“如果大型健康保險實體不花時間和精力來確定其安全漏洞,無論是技術漏洞還是人為漏洞,黑客肯定會這么做 。”
“此案生動地證明了允許黑客在計算機系統中漫游近九個月而未被發現時所造成的破壞。”
