ニューヨーク州北部の整形外科クリニックが、2023年に発生したハッキング事件(65万人の機微情報が盗まれた)を受け、州当局に50万ドルの和解金を支払い、より強固なセキュリティ対策を実施する。
OrthopedicsNY(より広くはOrthoNYとして知られる)に対する執行措置は、ニューヨーク州司法長官レティシア・ジェームズにより12月末に公表された。
OrthoNYは、オールバニ周辺のニューヨーク州キャピタル・リージョン一帯で複数のクリニックおよび手術センターを運営している。
州によると、司法長官の調査では、医療機関が「システムを適切に保護していなかったため」、ハッカーがOrthoNYのデータを盗むことができたと結論づけられた。
調査の結果、2023年に攻撃者は侵害されたログイン情報を用いてOrthoNYのネットワークへリモートアクセスを獲得した。「その後、攻撃者は約65万6,000人分の機微な個人情報および医療情報を含む暗号化されていないファイルをダウンロードした。これには、約11万人分の社会保障番号、運転免許証番号、またはパスポート番号が含まれていた」と州は述べた。
「患者は医療提供者に個人情報を託しており、提供者はシステムの安全性を確保することでその信頼に応えなければならない」とジェームズは声明で述べた。「OrthopedicsNYは患者の個人情報を守るための相応の注意義務を果たさなかった」とも述べた。
OrthoNYは、50万ドルの和解金を支払うことに加え、データセキュリティを強化するための「包括的」なプログラムを実施することに同意した。
具体的には次のとおり:
- 患者および従業員データへのアクセスを適切に制限する方針および手順を策定・実施すること;
- 医療機関のネットワークへのリモートアクセスに多要素認証を導入すること;
- 医療機関が収集・保存・送信・維持する患者および従業員データを暗号化すること;
- ネットワークおよびシステムの異常な活動を監視する仕組みを導入し、維持すること;
- 年次のセキュリティリスク評価を実施すること。
ランサムウェア監視サイトRansomware.liveによれば、サイバー犯罪グループ「INC Ransom」は2024年1月、OrthoNYの事件について犯行声明を出した。
OrthoNYは、和解に関するコメントおよびサイバー事件の追加詳細について、Information Security Media Groupからの取材要請に直ちには応じなかった。
OrthopedicsNYはまた、2024年2月、ネットワークサーバーに関わるハッキング事件として、影響を受けた656,086人のHIPAA侵害を連邦規制当局に報告した。
翻訳元: https://www.databreachtoday.com/orthopedic-practice-pays-500k-settlement-to-nys-in-hack-a-30464
