Стоматологическая практика в Индианаполисе, Westend Dental, согласилась выплатить 350 000 долларов после государственного расследования атаки программ-вымогателей, в результате которой были раскрыты чувствительные данные пациентов. Генеральный прокурор Индианы Тодд Рокита подал иск против практики, утверждая, что она не уведомила о нарушении в установленный срок и пыталась скрыть инцидент.
Атака программ-вымогателей, произошедшая в октябре 2020 года, скомпрометировала сервер в стоматологическом офисе Westend Dental в Арлингтоне, затронув как минимум 450 пациентов. Государственное расследование было инициировано после того, как пациент подал жалобу на неисполненную просьбу о получении зубных записей, что привело к обнаружению нарушения почти через два года. Согласно правилам HIPAA, медицинские организации обязаны уведомлять власти в течение 60 дней после обнаружения таких нарушений.
Владелица Westend Dental, доктор Пуджа Мандалия, и ее супруг, доктор Дипт Рана, назначенный ответственным за конфиденциальность HIPAA, не поддерживали адекватные протоколы безопасности. Иск показал, что скомпрометированный сервер содержал чувствительные данные пациентов, включая биометрические данные и медицинские записи, и что у практики не было системы для отслеживания доступа к этим данным на момент инцидента.
Предложенное соглашение обязывает Westend Dental соблюдать HIPAA и улучшить свои меры защиты данных, включая обучение сотрудников и документирование инцидентов. Этот случай подчеркивает уязвимости в секторе здравоохранения, где атаки программ-вымогателей становятся все более распространенными, при этом 8% таких атак нацелены на поставщиков медицинских услуг, по данным эксперта по кибербезопасности Эррола Уайза.
Кроме того, в ходе расследования были выявлены множественные ненадлежащие раскрытия защищенной информации о здоровье через публичные онлайн-публикации и ответы на отзывы пациентов, что еще больше усугубило скандал.