В рамках внутреннего расследования страховая компания уведомила об инциденте ФБР, а также привлекла к изучению кибератаки специалистов Mandiant, одной из ведущих мировых компаний по кибербезопасности. Excellus проводит расследование и принимает дополнительные меры для устранения уязвимостей IT-системы компании. Как показало предварительное исследование, нападавшие, возможно, получили несанкционированный доступ к персональной информации физических лиц, которая включает имя, дату рождения, номер социального страхования, почтовый адрес, номер телефона и другие сведения, включая данные финансового счета. Все пострадавшие проживают в 31-м округе Нью-Йорка, который является зоной обслуживания Excellus BCBS. Также затронуты и данные клиентской базы партнеров страховщика.
Начиная с 9 сентября 2015 года, Excellus принимает меры по защите клиентов и обеспечивает им двухлетнюю бесплатную защиту данных, кредитный мониторинг и полную поддержку для смягчения рисков. Пока нет никаких данных, что украденная информация была использована не по назначению. По предварительной оценке Excellus BlueCross BlueShield, хакеры похитили более 10 млн. записей, включающих 7 млн. клиентов самого страховщика и 3,5 млн. участников партнерских медицинских программ.
Как отмечают многочисленные эксперты, опрошенные американскими СМИ, данный инцидент показал, что компании должны выходить за рамки традиционных мер информационной безопасности и применять более агрессивный подход к защите данных и непрерывным мониторингом систем. Идан Тендлер, генеральный директор компании Fortscale, ранее служивший в киберподразделении Армии обороны Израиля, отметил, что нападение на Excellus является классическим примером из учебника.
Хакеры могут остаться незамеченными в течение длительного периода, хотя компания вложилась в защиту компьютерных систем. Этот инцидент еще раз подчеркивает необходимость для организаций постоянно контролировать свои сети и играть активную роль в выявлении и реагировании на подозрительную активность пользователей, чтобы предотвратить различные типы нарушений.
