Нарушение электронной почты у производителя кислородного оборудования затрагивает 30000

  1. Уведомление о нарушении
  2. Принятие мер
  3. Страховое покрытие
  4. Другие инциденты
  5. Риски медицинского оборудования

Уведомление о нарушении , Ответ нарушения , Данные нарушения

Inogen сообщает об инциденте с безопасностью при подаче в SEC Марианна Колбасук МакГи ( HealthInfoSec ) • 13 апреля 2018 г. Inogen сообщает об инциденте с безопасностью при подаче в SEC   Марианна Колбасук МакГи   (   HealthInfoSec   ) • 13 апреля 2018 г

Несанкционированный доступ к учетной записи электронной почты сотрудника привел к нарушению, затрагивающему 30 000 текущих и бывших арендаторов Inogen, производителя и поставщика кислородного оборудования, публично торгуемая компания сообщила в своем заявлении в Комиссию по ценным бумагам и биржам.

Смотрите также: Вебинар | Пароли: здесь сегодня, завтра? Будь осторожен с желаниями.

В дополнение к личной информации клиентов, Inogen говорит, что нарушение могло раскрыть непубличную финансовую информацию компании из Голеты, Калифорния.

Inogen-х 8-К подача В SEC 13 апреля говорится, что несанкционированный доступ извне компании к электронным письмам и прикрепленным файлам сотрудника, по-видимому, произошел в период с 2 января по 14 марта 2018 года.

Некоторые из сообщений и файловых вложений могут содержать личную информацию клиентов проката оборудования Inogen, включая имя, адрес, номер телефона, адрес электронной почты, дату рождения, дату смерти, идентификационный номер Medicare, информацию о страховом полисе и тип предоставленного медицинского оборудования. ,

Inogen уведомляет пострадавших лиц и предлагает им бесплатный кредитный мониторинг и политику страхового возмещения, отмечает компания в своей заявке.

Уведомление о нарушении

Али Бауэрлайн, финансовый директор Inogen, сообщает Media Security Media Group, что компания сообщает об инциденте в Министерство здравоохранения и социальных служб США как нарушение данных о здоровье HIPAA и это также уведомляет генеральных прокуроров штатов.

нарушение была обнаружена 14 марта, говорит она.

До сих пор судебно-медицинская экспертиза установила, что злоумышленник получил доступ к электронной почте сотрудника, скомпрометировав его учетные данные, говорит Бауэрлайн. По ее словам, IP-адрес злоумышленника базировался в другой стране, отказываясь идентифицировать нацию. Компания еще не определила, какая атака была задействована - «фишинг, посредник или что-то еще», говорит она.

Адвокат по вопросам конфиденциальности и безопасности Лаура Хаммаргрен из юридической фирмы Mayer Brown, которая не участвует в деле Иногена, отмечает: «Что меня интересует в этом нарушении, так это то, что Inogen сделал эту заявку SEC; возникает вопрос о том, будет ли SEC Недавнее руководство приведет к более регулярному раскрытию информации об инцидентах ».

SEC говорит, что его пересмотренное руководство по кибербезопасности выпущенный в феврале, направлен на оказание помощи публичным компаниям в подготовке раскрытия информации о рисках кибербезопасности и инцидентах.

Принятие мер

Inogen отмечает в заявлении SEC, что она наняла судебно-медицинскую фирму для расследования инцидента и для обеспечения безопасности своих систем. Компания требует, чтобы все пользователи электронной почты меняли свои пароли.

В компании также реализован многофакторный аутентификация для удаленного доступа к электронной почте и предпринял дополнительные шаги для дальнейшего ограничения доступа к своим системам и другие превентивные меры, в том числе расширенные повышение квалификации и использование электронных инструментов, подача заметок.

Страховое покрытие

Inogen имеет страховое покрытие для определенных потенциальных обязательств и затрат, связанных с инцидентом, но эта страховка может быть недостаточной для защиты от всех затрат, отмечается в заявлении компании. Баурейн говорит, что Inogen еще не определила потенциальную стоимость взлома.

Судебный адвокат Патриция "Триш" Каррейру из юридической фирмы Axinn, Veltrop & Harkrider, которая не имеет отношения к делу, говорит, что нарушение Inogen иллюстрирует, что страхование от кибер-инцидентов и нарушений отличается от большинства других видов страхования.

«Часть того, что делает киберстрахование таким уникальным, заключается в том, что нет единого« базового »полиса киберстрахования», - говорит она. «Язык каждой политики отличается, и они обычно включают в себя варианты для многих различных покрытий. Какой охват нужен клиенту, зависит от того, какие у него риски и какие у него есть другие инструменты для защиты от этих рисков. есть расходы на ваше судебное расследование - это обычное покрытие ".

По ее словам, другое полезное покрытие включает в себя прерывание работы, расходы на уведомление о нарушении данных, оплату услуг адвоката, оплату услуг по связям с общественностью, расходы на телефонный центр и кредитный мониторинг или страхование кражи личных данных для пострадавших лиц.

Другие инциденты

По словам Каррейру, другие производители и поставщики медицинского оборудования должны обратить внимание на инцидент с Inogen.

«Нарушение данных Inogen - это напоминание производителям и поставщикам медицинских технологий и устройств о том, что они не освобождаются от угрозы утечки данных».

«Легко думать, что утечка данных - это проблема других компаний», - говорит она. «Нарушение данных Inogen - это напоминание производителям и поставщикам медицинских технологий и устройств о том, что они не освобождаются от угрозы утечки данных. Информация о платежной карточке или медицинские записи - не единственные вещи, воздействие которых считается нарушением данных».

На самом деле, инцидент с безопасностью данных Inogen не является первым нарушением с участием поставщика медицинского медицинского оборудования.

В прошлом июне, Кислород дыхательных путей Компания, базирующаяся в Гранд-Рапидсе, штат Мичиган, сообщила HHS о хакерском инциденте, потенциально затрагивающем 500 000 текущих и прошлых клиентов. В этом случае компания заявила, что ее антивирусное программное обеспечение предупредило ИТ-персонал о том, что вымогателей атака шла против его систем.

По данным веб-сайта HHS HIPAA Reporting Tool, инцидент с кислородом в дыхательных путях стал вторым по величине нарушением данных о здоровье, о котором сообщили федеральные регуляторные органы в 2017 году. Также обычно называется "стена позора," на веб-сайте перечислены сообщения о нарушениях, затрагивающих 500 и более человек.

Кроме того, по крайней мере одна медицинская технологическая фирма заключила соглашение HIPAA с Управлением по гражданским правам HHS в результате расследования нарушения.

В апреле прошлого года OCR ударил CardioNet базирующаяся в Малверне, штат Пенсильвания, компания, специализирующаяся на мобильных технологиях для мониторинга сердца, с суммой в 2,5 млн. долл. США в рамках HIPAA, связанной с результатами расследования нарушения 2012 года, связанного с похищенным незашифрованном ноутбук. Огромный штраф отражает регулирующие органы, также находящие, что в организации не было достаточного анализа рисков и снижения рисков.

Риски медицинского оборудования

Хотя нарушение Inogen, по-видимому, не связано с продуктами медицинского оборудования компании, эксперты отмечают, что медицинское оборудование все чаще подвергаются риску кибератаки.

Например, в августе 2015 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов впервые выпустило предупреждение, призывающее организации здравоохранения прекратить использование семейства инфузионных насосов от производителя. Hospira из-за уязвимостей кибербезопасности, которые потенциально позволяют неавторизованным пользователям контролировать устройство и изменять дозировку, которую насос доставляет пациентам.

Совсем недавно, в марте, министерство национальной безопасности выпустило предупреждение об уязвимостях, связанных с жестко закодированными учетными данными по умолчанию в некоторых линиях продуктов для медицинской визуализации от GE Healthcare, что может позволить удаленному злоумышленнику обойти аутентификацию и получить доступ к уязвимым устройствам (см. DHS: некоторые устройства обработки изображений GE уязвимы ).

Медицинские организации и производители должны учитывать риски кибербезопасности для устройств, говорит адвокат конфиденциальности Дэвид Хольцман, вице-президент по консалтингу по безопасности в CynergisTek.

«Очень важно, чтобы производители медицинского оборудования и медицинские учреждения предпринимали шаги для оценки угроз информационной безопасности и уязвимостей, связанных с их медицинскими устройствами», - говорит он. «Эта уязвимость возрастает, поскольку медицинские устройства все чаще подключаются к Интернету, больничным сетям и другим медицинским устройствам».