Мир за неделю: системе здравоохранения США не здоровится

Структуры Департамента здравоохранения и социальных служб США заключают мировые соглашения по старым инцидентам и расследуют новые кибератаки. Сайт австралийского Института человеческих ресурсов был заражен вредоносным кодом.

Веб-ресурс поразила инъекция

Австралийский Институт человеческих ресурсов (AHRI) сообщил, что его сайт был атакован неизвестными. Утром 9 февраля AHRI разослал своим клиентам электронные письма с извещением о том, что неизвестный злоумышленник получил доступ к веб-сайту организации через провайдера.

«В феврале 2024 г. неавторизованные лица получили доступ к веб-сайту через провайдера и установили на сайте скрипт и вредоносное ПО, которые были активны 1‑2 февраля 2024 г.», — говорится в электронном письме AHRI, подписанном генеральным директором организации Сарой Макканн-Бартлетт. Провайдер сайта AHRI сообщил, что посетителей ресурса призывали загрузить поддельное обновление браузера, которое содержало ВПО. «Если вы посетили веб-сайт AHRI в период с 1 по 2 февраля 2024 г., это может повлиять на ваше оборудование», — говорится в заявлении. Проблема не касается тех, кто заходил на сайт с помощью мобильного телефона. По данным провайдера, сегодня пользоваться сайтом ARHI безопасно.

Организация заявила, что для проведения расследования инцидента привлекла судебных ИТ-экспертов. Пока неизвестно, был ли получен доступ к каким-либо данным института, пишет Cyber Daily. AHRI рекомендует клиентам выполнять проверку на вирусы на любом компьютере, который используется для доступа к сайту.

«Я искренне сожалею об этом инциденте», — написала Сара Макканн-Бартлетт в электронном письме клиентам организации. — «Мы серьезно относимся к кибербезопасности, и я тесно сотрудничаю с командой AHRI, а также внутренними и внешними ИТ-специалистами, чтобы гарантировать, что системы института также безопасны, как и должны быть».

Пошли на мировую

Департамент здравоохранения и социальных служб США (HHS) и Управление по гражданским правам (OCR) объявили о заключении мирового соглашения с Медицинским центром Монтефиоре, некоммерческой системой, базирующейся в Нью-Йорке. Предметом расследования регуляторов стали нарушения Закона о переносимости и подотчетности медицинского страхования (HIPAA). OCR отвечает за администрирование и обеспечение соблюдения конфиденциальности медицинской информации, включая соблюдение Правил конфиденциальности, безопасности и уведомления о нарушениях HIPAA для сектора здравоохранения. Управление также является агентством HHS, обеспечивающим соблюдение федеральных законов о гражданских правах, неприкосновенности частной жизни и безопасности в сфере здравоохранения. HIPAA требует, чтобы поставщики медицинских услуг, страховщики и другие лица предпринимали шаги для защиты конфиденциальности и сохранности защищенной медицинской информации пациентов.

Согласно мировому соглашению, медицинский центр Монтефиоре заплатит штраф в размере 4,75 млн долларов и устранит многочисленные нарушения в системе безопасности, которые привели к тому, что сотрудник компании в течение полугода имел доступ к конфиденциальной информации, крал и продавал конфиденциальную медицинскую информацию пациентов. OCR будет осуществлять мониторинг исполнения требований в течение двух лет.

В мае 2015 г. департамент полиции Нью-Йорка проинформировал медицинский центр Монтефиоре о наличии доказательств кражи медицинской информации конкретного пациента. В результате внутреннего расследования установлено, что в 2013 г. один из сотрудников центра украл данные 12 517 пациентов и продал их группе, специализирующейся на краже персональных данных.

Медицинский центр подал отчет о нарушении в OCR. Расследование регулятора выявило многочисленные нарушения правил безопасности HIPAA, в том числе в области кибербезопасности и защиты данных. Согласно мировому соглашению, центр обязан разработать планы и устранить все выявленные нарушения в соответствии с требованиями HIPAA.

Комментируя соглашение, директор OCR Мелани Фонтес Райнер отметила, что кибератаки со стороны инсайдеров не являются редкостью. Поэтому необходимо принимать все меры и учитывать все риски при работе с конфиденциальной информацией. «Это расследование и соглашение с Монтефиоре являются примером того, как сектор здравоохранения может стать серьезной мишенью для киберпреступников и воров, которые работают даже в их собственных стенах».

«Кибератаки, осуществляемые инсайдерами, являются одним из многих способов, которые могут привести к нарушению безопасности, в результате чего пациенты становятся уязвимыми», — отметила заместитель министра здравоохранения США Андреа Палм. «Улучшение качества медицинской помощи, которую получают пациенты, было и остается приоритетом работы системы здравоохранения. Частью этой медицинской помощи является уверенность в том, что медицинские записи не будут раскрыты. HHS продолжит напоминать системам здравоохранения об их ответственности за сохранность данных, о необходимости разработки политик и процедур для обеспечения безопасности медицинской информации пациентов».

В декабре 2023 г. HHS опубликовал Глобальную стратегию кибербезопасности для сектора здравоохранения, а в феврале обнародовал добровольные цели по повышению кибербезопасности в отрасли здравоохранения.

Согласно отчетам OCR, в 2023 г. от крупных нарушений пострадали более 134 млн человек, годом ранее — всего 55 млн. OCR рекомендует своим подведомственным организациям и деловым партнерам, на которых распространяется действие HIPAA, усилить меры кибербезопасности.

Очередная детская больница стала жертвой кибератаки

Отделение ФБР в Чикаго подтвердило, что расследует киберинцидент, который привел к отключению сети в детской больнице Лурье. Спецслужба использует все доступные инструменты расследования и ресурсы для оказания помощи, однако не располагает дополнительной информацией, которую можно обнародовать.

Инцидент произошел 31 января и вынудил больницу на неделю отключить свои сетевые системы, включая телефоны, электронные почту и сервисы. Больница не называла произошедшее кибератакой. Однако сбой в работе привел к тому, что были отменены плановые операции и процедуры. И хотя больница заявляла, что пациенты могут приходить на запланированные приемы, если не услышат иного от врача, многие клиенты были разочарованы положением дел. Они не могли связаться с больницей по телефону или получить звонок из учреждения, когда их дети смогут получить необходимую им помощь.

Больница предоставила минимальную информацию о ходе расследования. Создан колл-центр, который помогает пациентам решить вопросы о назначениях, пополнении рецепта и другие проблемы.

«Больницы и практически все, на что мы сегодня полагаемся, зависит от компьютеров, серверов и облачных сервисов. И они могут быть нарушены в результате кибератак», — отметил Робин Бертье, соучредитель компании Network Perception. Эксперт подчеркнул, что в отличие от традиционных кибератак на ИТ-компании, в данном случае под угрозой оказалась жизнь людей.