انتشار شده در تاریخ 1402/01/08 - 13:21

جریمه 200 هزار دلاری شرکت حقوقی به دلیل امنیت ضعیف داده‌ها

دادستان کل نیویورک 200 هزار دلار جریمه برای یک شرکت حقوقی که نماینده بیمارستان‌هایی است که پرونده‌های حساس آن در حمله باج‌افزاری در سال 2021 مورد دسترسی قرار گرفته بود، وضع کرده است.

به گزارش کارگروه امنیت خبرگزاری سایبربان، دادستان کل، لیتیتیا جیمز، شرکت هایدل، پیتونی، مورفی و باخ (HPMB) مستقر در نیویورک را به دلیل داشتن "امنیت ضعیف داده" متهم کرده است که منجر به درز اطلاعات حدود 114 هزار نفر از جمله اطلاعات در مورد سلامت آنها شده است.
او در بیانیه ای که همراه با این تصمیم بود، گفته است:

اهالی نیویورک نباید نگران باشند که حریم خصوصی آنها نقض می شود و اطلاعات حساس آنها مورد سوء استفاده قرار می گیرد.
شرکت‌ها می‌توانند و باید اقدامات امنیتی داده‌های خود را برای محافظت از داده‌های دیجیتالی مصرف‌کنندگان تقویت کنند، در غیر این صورت می‌توانند انتظار خبرهایی از این دست را از سمت من و دفترم داشته باشند.

بر اساس نتایج تحقیقات دفتر دادستان کل، یک مهاجم از سرور ایمیل مایکروسافت اکسچنج شرکت سوء استفاده کرده و از آسیب‌پذیری که مایکروسافت بیش از شش ماه قبل شناسایی کرده بود، استفاده کرده است. علیرغم اینکه مایکروسافت اصلاحاتی را برای باگ‌ها منتشر کرده است، ظاهراً این شرکت در استفاده به‌موقع از وصله این آسیب‌پذیری‌ها شکست خورده است.
ماه بعد، حدود کریسمس، مهاجم بدافزار لاک بیت (LockBit) را مستقر می کند. دفتر دادستان کل می نویسد که در حین مذاکره با مهاجمان، به یک شرکت امنیتی استخدام شده، فهرستی از ده ها هزار پرونده ارائه شد که شامل اظهارات حقوقی، لیست بیماران، و سوابق پزشکی بوده است که شرکت هایدل، پیتونی، مورفی و باخ در ارتباط با موضوعات دعوی قضایی در اختیار داشته است.
در نهایت، شرکت هایدل، پیتونی، مورفی و باخ 100 هزار دلار باج را پرداخت می کند اما مدرکی مبنی بر حذف فایل ها به آنها ارائه نمی شود. در ماه مه 2022، شش ماه پس از سرقت اولیه، این شرکت پس از انجام تحقیقات در مورد پرونده های لو رفته، به افرادی که تحت تأثیر این سرقت قرار گرفته بودند، اطلاع می دهد.
دفتر دادستان کل تشخیص می دهد که این شرکت استانداردهای حفاظت از داده های الزامی شده توسط قانون قابل حمل و پاسخگویی بیمه سلامت (HIPAA) را که از حریم خصوصی در مورد اطلاعات پزشکی محافظت می کند، نقض کرده است.
این الزامات شامل انجام ارزیابی‌های منظم ریسک سیستم‌ها، رمزگذاری اطلاعات خصوصی روی سرورها، و اتخاذ شیوه‌های مناسب به حداقل رساندن داده‌ها بوده است.
علاوه بر جریمه 200 هزار دلاری، این شرکت باید مجموعه ای از اقدامات امنیتی از جمله خصوصی سازی اطلاعات، توسعه یک برنامه تست نفوذ، به روز رسانی سیاست های حفظ داده ها و توسعه یک برنامه جامع امنیت اطلاعات را اتخاذ کند.
دادستان کل نیویورک در مجازات شرکت هایی که به دلیل سرقت داده ها مقصر شناخته شده اند، تهاجمی عمل کرده است. اکتبر گذشته، این دفتر، خرده‌فروش تجارت الکترونیک یعنی زوتاپ (Zoetop) را 1.9 میلیون دلار به دلیل رسیدگی به یک نشت جریمه کرده بود.
رگولاتورها برای سایر شرکت‌های حقوقی نیز جریمه‌هایی وضع کرده‌اند، به‌طوری‌که مقام حفاظت از داده‌های انگلستان، شرکت لندنی تاکرز سالیسیتورز (Tuckers Solicitors LLP) را به اتهام نقض استانداردهای مندرج در قوانین حفاظت از داده‌ها، حدود ۱۲۰ هزار دلار جریمه کرده است.