Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.（下稱Refuah公司）達成和解，主因為該公司遭受勒索軟體攻擊（ransomware attack），約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用（penalties and costs），且應投資 120 萬美元加強網路安全（cybersecurity）。

Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車（mobile medical vans）。2021 年 5 月，Refuah公司遭到勒索軟體攻擊，網路攻擊者得以近用數千名病人的資料，取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。

依據檢察長辦公室的調查顯示，攻擊者之所以得近用這些資料，原因為 Refuah公司未採取適當安全維護措施，包括：未停用不活躍之使用者帳號（inactive user accounts）；未定期更換使用者帳號憑證（user account credentials）；未限制員工僅得近用其業務所必需之資源和資料；未使用多重要素驗證（multi-factor authentication）以及未加密病人資料。

依據協議內容，Refuah公司同意投資 120 萬美元，用於開發和維護更強大的資訊安全計畫（information security programs），以更妥適地保護病人資料。該協議還要求Refuah公司應：

1.維護全面的資訊安全計畫，以保護消費者資料的安全性、機密性和完整性；

2.實施並持續更新消費者資料近用限制相關政策和程序；

3.遠端近用資源和資料應使用多重要素驗證；

4.定期更新近用資源和資料的憑證；

5.至少每半年進行一次稽核，確保使用者僅近用其業務所必需之資源和資料；

6.對所有儲存或傳輸的消費者資料進行加密；

7.實施控制措施，監控和記錄公司網路和系統的所有安全和操作活動；以及

8.制定、實施和持續更新全面的事故應變計畫。

Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用，其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後，得暫緩支付。

相關連結

Office of the New York State Attorney General[NYAG], Attorney General James Reaches Agreement with Hudson Valley Health Care Provider to Invest $1.2 Million to Protect Patient Data (2024)

你可能會想參加

※ Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料，資訊工業策進會科技法律研究所， https://stli.iii.org.tw/article-detail.aspx?no=0&tp=1&d=9164 （最後瀏覽日：2024/05/20）

引註此篇文章