Гимн медицинского страховщика показал, что это была жертва очень сложной утечки данных, которая представила миллионы записей клиента и сотрудника.Гимн медицинского страховщика раскрыл 4 февраля, что это была жертва утечки данных, которая представила 80 миллионов записей на клиентах и сотрудниках.На многократный Гимн включения брендов Гимна Синий крест, Гимн Синий крест и Синий Экран, Синий крест и Синий Экран Джорджии, Империя Синий крест и Синий Экран, Amerigroup, Caremore, Unicare, Healthlink и DeCare – влияет нарушение.В букве, отправленной на Веб-сайте Гимна, Джозеф Сведиш, президент и CEO, сказали, что компания была целью очень сложной внешней кибератаки.
Атакующие получили доступ к персональным данным, включая даты рождения, медицинские Идентификаторы/Номера социального страхования, адреса расположения, адреса электронной почты и поступили данные, объяснил он.«Основанный на том, что мы знаем теперь, нет никакого доказательства, что кредитная карта или медицинская информация, такая как требования, результаты испытаний или коды диагностики, были предназначены или поставились под угрозу», заявили шведы.Как только нарушение было обнаружено, Гимн связался с ФБР и предпринял шаги для закрытия возможных уязвимостей системы обеспечения безопасности, и Гимн сохранил подразделение киберответа FireEye Mandiant, чтобы исследовать нарушение и помочь на ответе, сказал он.
FireEye не реагировал на запрос комментария от eWEEK пресс-таймом.«Включение персональных данных собственных партнеров гимна, к моему собственному – получили доступ во время этого нарушения защиты», записали шведы. «Мы присоединяемся к Вам в Вашем беспокойстве и расстройстве, и я уверяю Вас, что мы работаем круглосуточно, чтобы сделать все, что мы можем для дальнейшего обеспечения данных».Гимн будет теперь также обеспечивать бесплатный кредитный мониторинг и службу защиты идентификационных данных для затронутых частных лиц.Закон о Мобильности и Учете Медицинского страхования (HIPAA) имеет прямую уместность в нарушении Гимна, сказал Эрик Коупертвэйт, вице-президент повышенной безопасности и стратегии, Базовой безопасности.
Cowperthwaite, который был директором по ИТ-безопасности в здоровье провидения и Услугах с 2006 до 2013, сказал eWEEK: «Имя, Номер социального страхования и медицинский идентификатор являются элементами Защищенной медицинской информации (PHI), как определено Конфиденциальностью HIPAA и Правилами безопасности. Это – абсолютно нарушение PHI и требования Правила безопасности HIPAA».Несмотря на то, что о многих недавних утечках данных – таких как те, которые влияли на Home Depot, Target и Staples – сначала публично сообщили третьи лица, обнаруженный Гимн и сообщили о его утечке данных.
Это – очень хороший знак, что Гимн является превентивным и ответственным о разрешении общественности, регуляторы и их клиенты знают то, что произошло, сказал Коупертвэйт.Однако средства, которыми фактически, возможно, было включено нарушение, все еще неизвестны.
«Когда дело доходит до внутренних систем, где данные сохранен, более сильные средства управления доступом – необходимость, и в этом случае, похоже, что многофакторная аутентификация не использовалась», сказал Джейсон Харт, вице-президент облачных сервисов, идентификационных данных и защиты данных в Gemalto, eWEEK. «С точки зрения безопасности, которая удивительна».Более широкое использование многофакторной аутентификации для всех внутренних систем, возможно, помогло предотвратить или ограничило масштаб нарушения Гимна, сказал Коупертвэйт. «Урок, который все ясно должны извлечь, должен потребовать двухфакторной аутентификации для доступа к критическим или уязвимым данным», сказал он.В то время как Гимн делает то, что он может с проведением законов в жизнь и самостоятельно защищать его пользователей, потребители не имеют много инструментов в наличии для защиты себя от нарушений провайдера, по словам специалистов по безопасности.«Существуют маленькие потребители, может сделать кроме требования, что компании занимают более сильную позицию при защите их персональных данных», сказал Харт. «Реальная ответственность лежит на компаниях, а также регуляторах, которые определяют правила для того, какие данные должно быть более безопасным».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.