Утечки данных в сфере здравоохранения становятся все более частыми и распространенными, в результате чего происходит утечка личной информации миллионов людей. Мы раскрываем самые большие утечки медицинских данных в истории.

В апреле 2019 года количество утечек медицинских данных достигло рекордного уровня. И за последние четыре года сфера здравоохранения была на втором месте по количеству нарушений по сравнению с другими отраслями. В общей сложности только в 2018 году было обнаружено почти 10 миллионов записей о нарушениях в сфере здравоохранения в США. Распространенность и размер утечки медицинских данных вызывает серьезное беспокойство, особенно если учесть, что большая часть взломанной информации может быть ценна для преступников.

В частности, вооруженные чьей-либо медицинской информацией, воры могут легко совершить кражу медицинских данных, чтобы получить лечение, получить рецепты на лекарства или подать ложные заявления от имени жертвы. Последствия мошенничества с медицинским страхованием для жертв включают крупные финансовые потери, низкий кредитный рейтинг и ограниченный доступ к неотложной медицинской помощи. Более того, медицинские данные часто содержат личную информацию, включая номера социального страхования (SSN), а также финансовую информацию. Эти данные могут быть проданы на черном рынке или использованы в ряде преступлений, включая мошенничество с кредитными картами и полномасштабную кражу личных данных.

В этом посте мы раскрываем самые большие утечки медицинских данных в истории. В список попали бреши, в которых было обнаружено 1,5 миллиона записей и более. Мы перечислили инциденты в хронологическом порядке, начиная с самого последнего.

1 Квест Диагностика (2019)

Размер прорыва: 11,9 м

Американское медицинское агентство по сбору платежей (AMCA) — поставщик медицинских услуг по выставлению счетов, который работает с Quest Diagnostics. В июне 2019 года AMCA обнаружила, что неавторизованный пользователь может получить доступ к его системам и потенциально украсть данные пациентов Quest. Информация включала почти 12 миллионов записей о клиентах, включая медицинскую информацию, SSN и финансовые данные.

2 MedicareSupplement.com (2019)

Размер прорыва: 5 м

Эта американская страховая маркетинговая компания предлагает расценки на дополнительное медицинское страхование.

База данных, которая, по-видимому, содержала данные о потенциальных клиентах, была оставлена открытой и доступной в сети и проиндексирована поисковой системой BinaryEdge. Информация в каждой записи включала имя и фамилию, полный адрес, IP-адрес, адрес электронной почты, дату рождения, пол и маркетинговую информацию. Более 200 000 записей также содержат информацию об области страховых интересов пользователя, например, о страховании от рака.

Мы уведомили компанию о разоблачении, и с тех пор база данных была защищена. Неизвестно, обращались ли к нему злоумышленники, пока он был открыт.

3 Vardguiden (2019)

Размер прорыва: 2,7 м

Еще одно крупное нарушение в 2019 году произошло в Швеции, связанное с горячей линией здравоохранения Vardguiden. Шведское технологическое издание Computer Sweden сообщило, что аудиозаписи миллионов звонков на горячую линию доступны в Интернете для любого желающего. Записи находились на открытом веб-сервере, на котором не было требований к шифрованию или аутентификации. Хотя это нарушение было обнаружено в феврале 2019 года, звонки датируются 2013 годом и, возможно, были раскрыты все время между ними.

Нарушение затронуло 2,7 миллиона звонков, что составило 170 000 часов чувствительного звука. Типы разглашаемой информации различались от звонка к звонку, но большая часть включала медицинские данные, такие как история болезни, недуги и лекарства, связанные с звонящим или его детьми. В некоторых случаях вызывающие абоненты предоставляли свои SSN, и многие файлы записи имели связанные с ними номера телефонов.

В настоящее время неясно, кто виноват в нарушении. Тайский субподрядчик Medicall, предположительно ответственный за грубую ошибку, отрицает, что это произошло.

4 Inmediata Health Group (2019 г.)

Размер прорыва: 1,57 м

Inmediata Health Group — администратор здравоохранения Пуэрто-Рико, предоставляющий услуги информационного центра, программное обеспечение и аутсорсинговые инструменты различным медицинским учреждениям и практикующим врачам. В январе 2019 года компания осознала, что сбой в их системах означает, что внутренние веб-страницы индексируются поисковыми системами.

Более 1,5 миллиона пациентов пострадали от взлома, и просочившаяся информация включала имена, адреса, пол, даты рождения, данные о медицинских заявлениях и в некоторых случаях SSN.

5 Решения AccuDoc (2018 г.)

Размер прорыва: 2,65 м

AccuDoc Solutions Inc. предоставляет услуги биллинга в сфере здравоохранения и в сентябре 2018 года подверглась серьезной утечке данных. Компания отвечает за работу системы онлайн-платежей Atrium Health. Это сеть из более чем 40 больниц, охватывающих Северную и Южную Каролину и Джорджию.

База данных Atrium Health (принадлежащая AccuDoc Solutions) была взломана хакерами, которые могли просматривать информацию о пациентах, включая имена, адреса, информацию о медицинском страховании, даты оказания услуг и многое другое. В некоторых случаях (около 700 000) также были обнаружены SSN.

6 Здравоохранение Юго-Востока (2018 г.)

Размер прорыва: 2,9 м

Health South East RHF — медицинская организация, управляющая многими больницами Норвегии. В январе 2018 года организация раскрыла нарушение, затронувшее данные более чем половины населения Норвегии. Утечка была результатом попытки взлома, но неясно, к какой именно информации получили доступ хакеры.

Размер прорыва: 3,62 м

Banner Health, система здравоохранения из Феникса, оказалась в центре взлома в июне 2016 года. Изначально казалось, что нарушение касается только финансовых данных людей, которые совершали покупки в киосках с едой и напитками в определенных местах Banner. Однако позже было обнаружено, что хакеры могли иметь доступ к информации о пациентах, включая имена, адреса, имена врачей, информацию о заявках, информацию о медицинском страховании, SSN и т.д. Пострадало до 3,7 миллиона человек.

8 Newkirk Products (2016 г.)

Размер прорыва: 3,47 м

Newkirk Products Inc. предоставляет медицинские удостоверения личности различным поставщикам планов медицинского страхования. В мае 2016 года хакер воспользовался уязвимостью административного портала и получил доступ к серверу, на котором хранилась информация о пациентах. Данные включали имена, адреса, идентификационные номера, имена иждивенцев, даты рождения и идентификационные номера Medicaid. Ньюкирку пришлось уведомить о взломе около 3,3 миллиона человек.

9 Онкология 21 века (2015)

Размер прорыва: 2,2 м

В октябре 2015 года компания 21st Century Oncology (21CO), поставщик медицинских услуг из Флориды, пострадала от крупного взлома. Компания, которая в то время управляла почти 200 центрами лечения рака, была уведомлена ФБР о том, что злоумышленник получил доступ к информации о пациентах. Это включало имена, SSN, медицинскую информацию и данные о страховании. От взлома пострадали около 2,2 миллиона пациентов.

21CO предложила предоставить пациентам услуги по защите личных данных в течение года бесплатно. Однако Министерство здравоохранения и социальных служб оштрафовало компанию на 2,3 миллиона долларов, и многие пациенты подали на нее в суд. Компания пережила банкротство (в основном из-за других финансовых проблем), но по состоянию на 2019 год судебные процессы против компании, связанные с нарушением в 2015 году, продолжаются.

10 Excellus BlueCross BlueShield (2015 г.)

Размер прорыва: 10,5 м

Атака на Excellus BlueCross BlueShield фактически началась в 2013 году, хотя она не была обнаружена до августа 2015 года. Нарушение было обнаружено после того, как несколько медицинских страховщиков пострадали от серьезных нарушений, а Excellus нанял судебных следователей для оценки ИТ-систем компании.

Данные были зашифрованы, но хакерам удалось получить административный контроль, что сделало шифрование бесполезным. К взлому были причастны персональные данные 10,5 млн человек. Информация, полученная хакерами, включала имена, адреса, даты рождения, SSN, номера планов медицинского страхования, финансовую информацию и информацию о претензиях.

11 Калифорнийский университет, система здравоохранения Лос-Анджелеса (2015 г.)

Размер прорыва: 4,5 м

Компьютерная сеть системы здравоохранения Калифорнийского университета в Лос-Анджелесе (UCLA) была атакована хакерами еще в сентябре 2014 года, хотя взлом не был обнаружен до июля 2015 года. Хакерам удалось получить доступ к конфиденциальной информации о 4,5 миллионах человек. Нарушенные данные могли включать имена, даты рождения, SSN, номера Medicare или других планов медицинского страхования, а также информацию из истории болезни.

Организация подверглась критике, поскольку данные должны были быть зашифрованы, чтобы избежать несанкционированного доступа. Действительно, от имени жертв был подан коллективный иск, и UCLA Health System пришлось выплатить компенсацию в размере 7,5 миллионов долларов.

12 Медицинская информатика, инженерия (2015)

Размер прорыва: 3,5 м

Компания Medical Informatics Engineering из Индианы предоставляет программное обеспечение и услуги для электронных медицинских карт. В 2015 году дочерняя компания компании NoMoreClipboard пострадала от серьезной уязвимости, когда хакеры получили доступ к медицинской информации 3,5 миллионов человек. Компания недавно урегулировала дело о нарушении HIPAA, связанное с этим нарушением, и должна была выплатить 100 000 долларов.

13 Гимн Голубой Крест (2015)

Размер прорыва: 78,8 м

Еще одна компания, подвергшаяся штрафу (хотя эта была намного крупнее), была Anthem Blue Cross. Обнаруженная в январе 2015 года кибератака на организацию, которая, возможно, началась еще в 2014 году, раскрыла информацию о здоровье почти 79 миллионов человек.

Утечка данных включала имена, даты рождения, уличные адреса, адреса электронной почты, медицинские удостоверения личности, SSN, а также информацию о занятости и доходах.

В 2017 году компании пришлось выплатить компенсацию в размере 115 миллионов долларов, а в 2018 году на нее был наложен штраф в размере 16 миллионов долларов.

14 Premera Blue Cross (2015)

Размер прорыва: 11 м

В январе 2015 года Premera Blue Cross обнаружила нарушение, которое на самом деле произошло в мае 2014 года. Масштабы нарушения были широкими, поскольку могли быть раскрыты данные о пациентах за последние тринадцать лет. В целом, возможно, пострадали до 11 миллионов клиентов.

Нарушенные данные включали медицинские записи, SSN, даты рождения и информацию о банковских счетах. Против организации продолжается коллективный иск, в котором истцы недавно обвинили Премеру в уничтожении улик, имевших решающее значение для дела.

15 Advocate Health Care (2013).

Размер прорыва: 4,03 м

Advocate Medical Group управляет 12 больницами и более чем 200 лечебными центрами. В августе 2014 года организация из Иллинойса начала предупреждать пациентов о том, что месяц назад она подверглась утечке данных. Это нарушение произошло в результате физического кражи четырех компьютеров, защищенных паролем, из административного офиса.

Хотя компьютеры были защищены паролем, они не были зашифрованы. Утечка информации включала имена, адреса, даты рождения и SSN. Он также включал множество медицинских данных, таких как лечащий врач, номера медицинских карт и информация о страховании здоровья. Была даже подробная информация о самих врачах, включая SSN, национальные идентификаторы поставщиков услуг (NPI) и номера лицензий.

Впоследствии организации было приказано выплатить компенсацию в размере 5,55 миллиона долларов, что на тот момент было крупнейшим в своем роде.

16 Медицинский фонд Саттера (2011 г.)

Размер прорыва: 4,24 м

Sutter Medical Foundation — это некоммерческая система здравоохранения Северной Калифорнии. В нем произошла утечка информации о 4,24 миллиона пациентов, когда настольный компьютер был украден из медицинского кабинета в Сакраменто.

Как и в случае взлома Advocate, компьютер был защищен паролем, но не был зашифрован. Данные включают личную и медицинскую информацию, но не SSN или номера планов медицинского страхования.

Группе предъявили иск на сумму более 1 миллиарда долларов, но позже этот иск был отклонен.

17 TRICARE (2011)

Размер прорыва: 4,9 м

TRICARE — это программа Министерства обороны в области здравоохранения. В 2011 году из машины сотрудника программы были украдены резервные копии с электронными записями о здоровье. Они содержали данные о 4,9 миллионах пациентов, включая имена, SSN, адреса, номера телефонов, клинические записи и информацию о рецептах.

18 Национальная служба здравоохранения Великобритании (2011 г.)

Размер прорыва: 8,63 м

В июне 2011 года британские газеты сообщили о массовом нарушении работы Национальной службы здравоохранения (NHS). 20 ноутбуков, по-видимому, исчезли из кладовой в медицинской исследовательской организации NHS. Один из компьютеров содержал данные о 8,63 миллиона пациентов и был защищен паролем, но не зашифрован. Информация не включала имена, но включала почтовые индексы, этническое происхождение, возраст и информацию о посещении больницы.

19 Health Net (2011)

Размер прорыва: 1,9 м

В марте 2011 года в центре обработки данных Health Net в Калифорнии, находящемся под управлением IBM, пропало девять серверов. Предполагается, что пострадали 1,9 миллиона существующих и прошлых клиентов страховой компании. Информация, хранящаяся на серверах, включала имена, адреса, SSN, финансовую информацию и информацию о состоянии здоровья.

20 Корпорация здравоохранения и больниц г. Нью-Йорка (2010 г.)

Размер прорыва: 1,7 м

В декабре 2010 года незашифрованные ленты, принадлежащие Корпорации здравоохранения и больниц Нью-Йорка, были украдены из грузовика, который перевозил ленты в безопасное место хранения. Они содержали подробную информацию о 1,7 миллионах пациентов, включая имена, адреса, SSN и истории болезни. В то время это было самое крупное нарушение, о котором сообщалось, в соответствии с правилом уведомления о нарушениях Закона об информационных технологиях в области здравоохранения (HITECH), которое действовало с сентября 2009 года.

21 Health Net (2009)

Размер прорыва: 1,5 м

Упомянутое выше нарушение Health Net в 2011 г. не было первым серьезным нарушением. В ноябре 2009 года было объявлено, что в мае того же года произошла серьезная утечка информации. Пропал жесткий диск с данными о 1,5 миллионах клиентов, включая финансовую и медицинскую информацию.

22 Министерство здравоохранения Вирджинии (2009 г.)

Размер прорыва: 8,26 м

Агентство, связанное с Министерством здравоохранения Вирджинии, оказалось в центре массового взлома в мае 2009 года. Это агентство отвечало за онлайн-базу данных рецептов, которую хакеры потребовали выкупить за 10 миллионов долларов. В базе данных хранится более 8 миллионов историй болезни пациентов, которые могли включать личную информацию (включая SSN) и информацию о рецептах.

23 Больницы и клиники Университета Юты (2008 г.)

Размер прорыва: 2,2 м

Больницы и клиники Университета Юты пострадали от взлома данных, хранящихся на физических магнитных лентах, когда они были украдены в июне 2008 года. На пленках содержалась информация о счетах, медицинские записи и номера социального обеспечения 2,2 миллиона пациентов. Их вернули всего через несколько дней, и в этом преступлении были обвинены два человека. Однако в результате взлома университет все же потратил более 3 миллионов долларов.

Изображение предоставлено: «Технология» Герда Альтманна под лицензией CC BY 2.0.