Медицинская компания несколько месяцев замалчивала утечку
13.03.2008
Медицинская организация BlueCross BlueShield of Western New York (BCBS), расположенная в городе Буффало (Buffalo), штат Нью-Йорк, допустила утечку информации в конце прошлого года, однако сообщила о ней властям только сейчас. По мнению специалистов компании Perimetrix, теперь BCBS ждет суровое наказание, поскольку один из законов штата (билль A02261) обязывает раскрывать информацию об инциденте в течение двух рабочих дней.
Утечка информации произошла в результате пропажи ноутбука, принадлежавшего бывшему сотруднику компании. Как именно пропал компьютер, не сообщается, однако известно, что в нем содержались персональные сведения (имена, номера социального страхования и т. д.) как минимум 40 тыс. человек. По словам представителей BCBS, организация сомневалась в утечке данных и не хотела оповещать пострадавших, "чтобы не подвергать их излишнему волнению".
В отчетах американских СМИ сообщается, что допустивший утечку сотрудник сейчас работает в другой компании и даже в другом штате. Интересно, что руководство BCBS сумело связаться с этим сотрудником и восстановить картину инцидента. Оказалось, что пропавший компьютер не использовал шифрование данных и был защищен только стандартными паролями, которые не могут гарантировать должный уровень безопасности.
Отметим, что BCBS планирует предоставить всем пострадавшим бесплатную услугу кредитного мониторинга сроком на 1 год.
"Я часто пытаюсь понять – зачем люди копируют персональные сведения на ноутбук, - рассуждает Владимир Ульянов, руководитель аналитического центра компании Perimetrix. - В данном случае известно, что сотрудник BCBS работал над неким "проектом" и скопировал информацию для тестовых целей. На мой взгляд, что это абсолютно недопустимо – для тестовых задач должна использоваться тестовая (а не реальная) информация. Как вариант, можно было скопировать реальные данные, предварительно их зашифровав".
