АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Утечка медицинских данных Anthem

Экспертиза РАН

Logo-ran.pngLogo-ran-black.png
Проводится экспертиза
Российской академией наук
Подробнее
Times2.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проводится экспертиза
Российской академией наук
Подробнее

Утечка медицинских данных Anthem (англ. Anthem medical data breach) — инцидент, связанный с несанкционированным доступом к конфиденциальной информации, находившейся в распоряжении компании Elevance Health, в то время известной как Anthem Inc.

Кража данных

4 февраля 2015 года компания Anthem Inc. сообщила, что киберпреступники взломали её серверы и, возможно, похитили более 37,5 миллиона записей, содержащих персональные данные клиентов[1]. 24 февраля 2015 года Anthem увеличила количество затронутых лиц до 78,8 миллиона[2]. По информации Anthem Inc., утечка затронула несколько брендов, используемых компанией для продвижения медицинских страховых полисов: Anthem Blue Cross, Anthem Blue Cross and Blue Shield, Blue Cross and Blue Shield of Georgia, Empire Blue Cross and Blue Shield, Amerigroup, Caremore, UniCare[3]. Также Healthlink заявила, что стала жертвой данной утечки[4]. Anthem утверждает, что медицинская информация и финансовые данные пользователей не были скомпрометированы, а пострадавшим была предложена бесплатная услуга мониторинга кредитной истории[5].

Майкл Дэниел, главный советник президента Барака Обамы по кибербезопасности, прокомментировал, что изменит свой собственный пароль[6]. По данным газеты The New York Times, было взломано около 80 миллионов записей, а эксперты опасаются, что похищенные данные могут быть использованы для кражи личных данных[7]. Скомпрометированная информация включала имена, даты рождения, медицинские идентификаторы, номера социального страхования, почтовые адреса, адреса электронной почты и сведения о занятости, включая данные о доходах[8][9].

Похищение данных происходило в течение нескольких недель до того, как утечка была обнаружена[10].

Поскольку медицинская информация не была скомпрометирована, компания Anthem не была обязана по закону шифровать эти данные[11]. Тем не менее, против Anthem были поданы несколько коллективных гражданских исков, урегулированных в 2017 году на сумму 115 миллионов долларов при отсутствии признания вины со стороны Anthem[12].

Ожидается, что похищенная информация появится на чёрном рынке[13].

Последствия

Для лиц, чьи данные были украдены, могут возникнуть пожизненные последствия, связанные с кражей личных данных[14]. У Anthem был страховой полис на сумму 100 миллионов долларов на случай киберрисков от American International Group[15]. По некоторым оценкам, вся эта сумма могла быть потрачена только на уведомление клиентов о случившемся[15].

Реакция

Anthem наняла компанию Mandiant, специализирующуюся на кибербезопасности, для проверки своих систем безопасности, а пострадавшим рекомендовала следить за счетами и проявлять бдительность[16][17].

Кража данных спровоцировала опасения относительно увеличения числа подобных случаев, связанных с утечкой медицинской информации[18][19]. По мнению одного из авторов юридической школы Гарвардского университета, инцидент может привести к реформе стандартов безопасности и регулированию обращения с данными на государственном уровне[20].

Расследование, проведённое рядом государственных страховых комиссий, обвинило в утечке неизвестного атакующего, предположительно действовавшего по заказу иностранного государства, чьё имя не было обнародовано[21]. Сделан вывод, что до взлома компания предприняла разумные меры по защите информации, а план по устранению последствий оказался эффективным. Дата начала инцидента определяется как 18 февраля 2014 года[21]. Главным регулятором выступал Департамент страхования штата Индиана, где находится штаб-квартира Anthem[22]. Для аудита безопасности были привлечены независимые эксперты, которые отметили, что обнаруженные недостатки не являются уникальными для компаний сопоставимого размера и, несмотря на негативное влияние на быстроту реагирования, меры, принятые после взлома, должны повысить эффективность защиты в будущем[22].

Федеральные регуляторы также провели расследование, в результате которого был заключён крупнейший в истории соглашения по компенсации ущерба утека данных между Anthem и Министерством здравоохранения и социальных служб США (HHS) на сумму 16 миллионов долларов[23]. Представитель HHS заявил, что «крупнейшая в истории утечка медицинских данных заслуживает самого крупного штрафа в истории по закону HIPAA. К сожалению, Anthem не реализовала достаточных мер для своевременного обнаружения присутствия хакеров в системе и кражи персональных данных граждан»[23]. Соглашение обязывало Anthem провести оценку рисков и устранить выявленные недостатки под контролем ведомства[23].

В связи с инцидентом против Anthem было подано около 100 коллективных исков, которые были объединены в федеральном суде Калифорнии под председательством судьи Люси Кох, признанного специалиста в области судебных разбирательств по утечкам данных[24]. Судья назначила сопредседателями группы истцов Ив Сервантец и Энди Фридмана, а также поручила возглавить комитет управляющих истцами Эрику Гиббсу и Майклу Собелу[25]. В 2017 году Anthem согласилась выплатить 115 миллионов долларов, что стало крупнейшим на тот момент мировым соглашением по коллективному иску об утечке данных[26]. Адвокаты ходатайствовали о выплате им 38 миллионов долларов в виде гонораров; суд признал обоснованными только 31 миллион[27].

Примечания

  1. Riley, Charles. Страховой гигант Anthem пострадал от крупной утечки данных, CNN Money (4 февраля 2015). Архивировано 19 февраля 2015. Дата обращения: 20 февраля 2015.
  2. Mathews, Anna. Anthem: взломанная база данных включала 78,8 миллиона человек, Wall Street Journal (24 февраля 2015). Архивировано 26 июля 2020. Дата обращения: 4 мая 2020.
  3. Утечка данных у страховщика Anthem может повлиять на миллионы — Krebs on Security. KrebsOnSecurity (5 февраля 2015). Дата обращения: 21 февраля 2015. Архивировано 16 мая 2021 года.
  4. Healthlink homepage. healthlink.com. Дата обращения: 10 февраля 2015. Архивировано 15 февраля 2015 года.
  5. Pepitone, Julianne Взлом Anthem: слежение за кредитной историей не поможет выявить кражу медицинской идентичности. NBC News (5 февраля 2015). Дата обращения: 5 февраля 2015. Архивировано 5 февраля 2015 года.
  6. Michael A Riley. Подозрение на хакеров, поддерживаемых Китаем, при атаке на Anthem, Bloomberg.com (5 февраля 2015). Архивировано 25 февраля 2017. Дата обращения: 5 марта 2017.
  7. Взлом Anthem указывает на уязвимость системы безопасности здравоохранения, The New York Times (5 февраля 2015). Архивировано 7 августа 2019. Дата обращения: 1 марта 2017.
  8. Weise, Elizabeth. Крупная утечка в медицинской компании Anthem Inc., USA Today, Маклин, Виргиния: Gannett (5 февраля 2015). Архивировано 21 февраля 2015. Дата обращения: 20 февраля 2015.
  9. Медицинский страховщик Anthem подвергся хакерской атаке, Wall Street Journal (4 февраля 2015). Архивировано 18 февраля 2015. Дата обращения: 20 февраля 2015.
  10. Zetter, Kim (5 февраля 2015). “Хакеры взломали страховщика Anthem, раскрыв данные миллионов пациентов”. Wired. Архивировано из оригинала 21 февраля 2015. Дата обращения 20 февраля 2015. Используется устаревший параметр |url-status= (справка)
  11. Whitney, Lance. Похищенные данные клиентов Anthem не были зашифрованы, CNET (6 февраля 2015). Архивировано 13 марта 2015. Дата обращения: 20 марта 2015.
  12. Freeman, Liz. Anthem урегулировала иск по утечке данных, затронувшей 80 млн, USA Today (26 июня 2017). Архивировано 1 декабря 2017. Дата обращения: 20 ноября 2017.
  13. Murphy, Tom; Bailey, Brandon Почему хакеры нацеливаются на медицинский сектор. Boston Globe (6 февраля 2015). Дата обращения: 20 февраля 2015. Архивировано 22 февраля 2015 года.
  14. Rudavsky, Shari. Утечка данных Anthem может стать "пожизненной битвой" для клиентов, IndyStar (7 февраля 2015). Архивировано 13 марта 2015. Дата обращения: 20 февраля 2015.
  15. 1 2 Osborne, Charlie. Ущерб от утечки данных Anthem, вероятно, превысит 100 миллионов долларов, ZDNet (12 февраля 2015). Архивировано 15 февраля 2015. Дата обращения: 20 февраля 2015.
  16. Popken, Ben; Grant, Kelli Взлом Anthem: что нужно делать прямо сейчас? NBC News (6 февраля 2015). Дата обращения: 20 февраля 2015. Архивировано 20 февраля 2015 года.
  17. McNeal, Gregory S.. Страховщик Anthem пострадал от масштабной утечки данных, Forbes (4 февраля 2015). Архивировано 7 февраля 2015. Дата обращения: 20 февраля 2015.
  18. Terhune, Chad. Взлом Anthem вызвал опасения за медицинские данные, Los Angeles Times (5 февраля 2015). Архивировано 2 марта 2015. Дата обращения: 20 февраля 2015.
  19. Утечка данных в Anthem может стать тенденцией, The New York Times (6 февраля 2015). Архивировано 9 февраля 2015. Дата обращения: 20 февраля 2015.
  20. Terry, Nicholas Пора пересмотреть вопросы утечек данных в здравоохранении? Bill of Health. Petrie-Flom Center for Health Law Policy at Harvard Law School (7 февраля 2015). Дата обращения: 20 февраля 2015. Архивировано 16 мая 2020 года.
  21. 1 2 Расследование крупной киберуечки в Anthem выявило причастность иностранного государства. Сакраменто, Калифорния: California Department of Insurance (17 января 2017). Дата обращения: 16 февраля 2017. Архивировано 17 февраля 2017 года.
  22. 1 2 Многоштатная целевая проверка рыночной деятельности и финансовая экспертиза Anthem Insurance Companies. National Association of Insurance Commissioners. Дата обращения: 8 февраля 2019. Архивировано 17 февраля 2019 года.
  23. 1 2 3 Telchert, Erica Anthem выплатит 16 миллионов долларов по крупнейшему соглашению о нарушении безопасности данных. Modern Healthcare (16 октября 2018). Дата обращения: 8 февраля 2019. Архивировано 23 марта 2023 года.
  24. Trade, Steven Компании Blue Cross просят исключить их из многостороннего судебного процесса по утечке данных Anthem. Law360. Дата обращения: 8 февраля 2019. Архивировано 9 февраля 2019 года.
  25. Адвокаты истцов объявили о предварительном мировом соглашении по делу об утечке данных Anthem на 115 миллионов долларов. Market Watch (23 июня 2017). Дата обращения: 8 февраля 2019. Архивировано 9 февраля 2019 года.
  26. Anthem выплатит рекордные 115 миллионов долларов для урегулирования коллективных исков в США по поводу утечки данных, Reuters (23 июня 2017). Архивировано 9 февраля 2019. Дата обращения: 8 февраля 2019.
  27. Andrews, Greg Судья по делу о взломе данных Anthem одобрил значительное вознаграждение юристов, но оно оказалось меньше запрошенного. Indianapolis Business Journal (20 августа 2018). Дата обращения: 8 февраля 2019. Архивировано 9 февраля 2019 года.

Ссылки

  • AnthemFacts — официальный сайт Anthem для поддержки клиентов, чьи данные были скомпрометированы
  • Data Breach Litigation — информация о коллективном иске по делу об утечке данных

Категории