OCR 对 Premera 公司数据泄露处以 685 万美元的罚款
华盛顿州的一家健康保险公司遭到了有史以来第二大HIPAA违规处罚。
卫生与公众服务部公民权利办公室(OCR)已对Premera Blue Cross处以685万美元的罚款,以解决可能违反1996年《健康保险携带与责任法案》(HIPAA)的行为。
Premera Blue Cross是位于Mountlake Terrace的一家非营利性Blue Cross Blue Shield许可健康保险公司。2014年,该公司遭受了数据泄露,影响了1,040万人的受保护健康信息(PHI)。
一个高级持续威胁(APT)小组成功地使用鱼叉式网络钓鱼攻击来访问Premera的计算机系统。在九个月的过程中,该小组访问了包括Premera客户的姓名,地址,出生日期,电子邮件地址,社会保险号,银行帐户信息和健康计划临床信息在内的数据。
黑客在2014年5月入侵了Premera,但直到2015年1月,公司才发现他们的活动。两个月后,OCR收到数据泄露通知。
在调查了安全事件之后,OCR根据Premera Blue Cross的HIPAA规则确定了“系统不合规”。
调查人员发现的失败包括忽略进行全面而准确的风险分析,以识别出对ePHI的机密性,完整性和可用性的所有风险,并且没有采取措施将电子PHI的风险和脆弱性降低到合理和适当的水平。
进一步发现,Premera在2015年3月8日之前未能实现足够的硬件,软件和程序机制来记录和分析与包含ePHI的信息系统有关的活动。
Premera已同意支付685万美元并实施一项“强有力的纠正行动计划”,其中包括两年的监督。根据协议,公司必须制定风险分析计划,并至少每年对其进行一次审查。
OCR主管Roger Severino说:“如果大型健康保险实体不花时间和精力来确定其安全漏洞,无论是技术漏洞还是人为漏洞,黑客肯定会这么做 。”
“此案生动地证明了允许黑客在计算机系统中漫游近九个月而未被发现时所造成的破坏。”
