Aveanna Healthcare因2019年数据泄露向马萨诸塞州支付罚款

关键要点

• Aveanna Healthcare因2019年的网络钓鱼数据泄露事件，向马萨诸塞州支付425,000美元。
• 公司必须实施有效的安全措施与员工培训。
• 此事件涉及超过166,077名患者的敏感数据，已成为2020年报告的第十大医疗数据泄露。

AveannaHealthcare根据马萨诸塞州检察长的调查，与该州达成协议，支付425,000美元，因为调查发现该公司未能采取适当的安全措施，导致了2019年的网络钓鱼相关数据泄露。

除了金钱罚款，AveannaHealthcare还需接受一项法院裁定，要求其制定、实施并维护符合特定要求的安全程序，内容包括网络钓鱼防护工具、多因素认证及入侵检测与解决系统。

该公司还需对员工进行更好的数据安全培训，持续更新安全威胁信息。此外，Aveanna还需每年进行一次独立合规性评估，以确保遵守法院裁定和马萨诸塞州数据安全法规。

马萨诸塞州检察长MauraHealey强调了在现有威胁环境下，企业采取必要安全措施的紧迫性。Aveanna所需遵循的安全要求旨在“确保遵守我们严格的数据安全法律，并采取必要步骤保护其员工及私人数据”。

此事件在2020年2月被披露后，马萨诸塞州对公司进行了审计，涉及超过166,077名患者的数据（其中仅有4000名患者来自马萨诸塞州）。

事件背景与影响

该事件首次发现于2019年8月24日，数个员工邮箱账户在一个月内遭到攻击。法医学审查未能排除数据访问或泄露的可能。此网络钓鱼事件导致的数据外泄包括患者姓名、社会安全号码、州身份证、医疗数据、健康保险信息、驾驶执照、财务信息和银行细节。

Aveanna将通知患者的延迟归咎于账户审查，而此审查在四个月后才完成。然而，公司在此后又拖延了两个月才报告该事件。

调查结果警示医疗服务提供者

目前，该公司正面临超过100名患者提起的诉讼，此诉讼是在数据泄露通知发布后提出，内容涉及马萨诸塞州调查所揭露的内容：即该事件是由安全措施不足和监控缺失导致，以及通知延迟的问题。

马萨诸塞州检察长表示：“Aveanna意识到其网络安全需要改进，但在网络钓鱼攻击发生时并未采取新的改进措施。”

在公司的自我评估中，发现的问题包括员工培训不足、未能实施足够的工具及未使用多因素认证。

调查进一步详细说明了其安全方面的重大问题，指出“Aveanna的安全程序未能满足马萨诸塞州数据安全法规的最低保护要求”，以及《健康保险流通与问责法》（HIPAA）所要求的受保护健康信息标准。

根据调查，2019年7月，钓鱼邮件被发送给Aveanna的员工，这些邮件伪装成发自公司总裁的通信。

报告指出：“攻击持续至2019年8月，此时发送给员工的钓鱼邮件超过600封。”员工对此类邮件的回应使得黑客获得了Aveanna计算机网络的部分访问权限。

此访问还引发了尝试“欺诈员工，通过登录Aveanna的人力资源系统并修改个别员工的直接存款信息”。

启示与前景

考虑到针对Aveanna员工发送的钓鱼攻击的绝对数量，这些措施至少能够减轻影响。医疗服务提供者应重视调查结果，采取主动措施，因为电子邮件黑客攻击是最常见也是应对最棘手的安全威胁之一。

尽管民权办公室的调查积压很长，州监管机构和联邦贸易委员会在过去几年间已增加了其对公司未能部署有效措施的规制力度。

最近，纽约与EyeMed达成的和解协议详细说明了即使在医疗提供者避免接受民权办公室审计时，未来还会面临的要求与期望。 。