Le procureur général James récupère 550 000 $ de la société de gestion médicale du comté d’Erie pour ne pas avoir protégé les données des patients

NEW YORK – Le procureur général de New York, Letitia James, a récupéré 550 000 $ auprès d’une société de gestion médicale, Professional Business Systems, Inc. d/b/a Practicefirst Medical Management Solutions et PBS Medcode Corp. (Practicefirst), pour avoir omis de protéger les informations personnelles des New-Yorkais , y compris les dossiers de santé. L’incapacité de Practicefirst à effectuer une mise à jour logicielle en temps opportun a rendu ses réseaux vulnérables à une cyberattaque, qui a touché plus de 1,2 million de personnes dans tout le pays, dont plus de 428 000 New-Yorkais. Les failles de sécurité des données de Practicefirst ont violé à la fois la loi de l’État et la loi fédérale sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). À la suite de l’accord d’aujourd’hui, Practicefirst a accepté de payer 550 000 $ de pénalités à New York, de renforcer ses pratiques de sécurité des données et d’offrir aux consommateurs concernés des services gratuits de surveillance du crédit.

“Lorsqu’une personne demande des soins médicaux, sa dernière préoccupation devrait être la sécurité de ses informations personnelles”, a déclaré Procureur général James. «Chaque entreprise chargée de conserver et de gérer les données des patients doit prendre au sérieux sa responsabilité de protéger les informations personnelles, en particulier les dossiers de santé. Les New-Yorkais peuvent être sûrs que lorsque des entreprises manqueront à leur devoir, mon bureau interviendra pour les tenir responsables. »

Practicefirst est une société de gestion médicale qui aide les organisations de soins de santé avec la facturation médicale, le codage, l’accréditation et d’autres services. En janvier 2019, le fournisseur de pare-feu de Practicefirst a publié une nouvelle version de son logiciel conçue pour corriger une vulnérabilité critique. Practicefirst n’a pas mis à jour son logiciel et n’a pas effectué de tests de pénétration, d’analyses de vulnérabilité ou d’autres tests de sécurité qui auraient identifié des problèmes de sécurité. En novembre 2020, un pirate a exploité la vulnérabilité critique du pare-feu et a réussi à accéder aux systèmes de Practicefirst. Le pirate a ensuite déployé un logiciel de rançon et extrait des fichiers contenant les informations personnelles des patients. Quelques jours plus tard, des captures d’écran contenant les informations personnelles de 13 consommateurs ont été découvertes sur le dark web.

L’enquête de Practicefirst a révélé que 79 000 fichiers avaient été pris par l’attaquant. Ces fichiers contenaient des informations personnelles, y compris les dates de naissance, les numéros de permis de conduire, les numéros de sécurité sociale, les diagnostics, les informations sur les médicaments et les informations financières de plus de 1,2 million de patients des clients de Practicefirst, dont plus de 428 000 New-Yorkais. Ces informations, conservées sur le réseau de Practicefirst, n’étaient pas cryptées.

Le Bureau du procureur général (OAG) a déterminé que Practicefirst n’avait pas maintenu des pratiques raisonnables de sécurité des données pour protéger les informations privées et de santé des patients, notamment en omettant de maintenir des processus de gestion des correctifs appropriés, d’effectuer des tests de sécurité réguliers de ses systèmes et de crypter les données personnelles informations sur ses serveurs.

À la suite de l’accord d’aujourd’hui, Practicefirst paiera 550 000 $ en pénalités et offrira aux consommateurs concernés des services gratuits de surveillance du crédit. De plus, Practicefirst devra adopter des mesures pour mieux protéger les renseignements personnels, notamment :

• Maintenir un programme complet de sécurité de l’information qui sera régulièrement revu et mis à jour ;
• Cryptage des informations privées et de santé ;
• Adopter des procédures appropriées de gestion des comptes et d’authentification, telles que l’authentification multifacteur ;
• Mettre en œuvre une solution de gestion des correctifs qui garantira que les correctifs de sécurité et les mises à jour sont installés en temps opportun ;
• Élaborer un programme de gestion des vulnérabilités qui comprend une analyse régulière des vulnérabilités et des tests de pénétration ainsi que la correction appropriée des vulnérabilités révélées par ces analyses et tests ; et
• Mettre à jour ses pratiques de collecte, de conservation et d’élimination des données pour garantir que les informations de santé privées ne sont conservées que dans la mesure minimale nécessaire à la réalisation d’objectifs commerciaux légitimes.

Les consommateurs concernés peuvent accéder à leurs services gratuits de surveillance du crédit en suivant les instructions de la section « Ce que vous pouvez faire » sur Le site de PracticeFirst.

Le mois dernier, le procureur général James a publié un guide complet sur la sécurité des données pour aider les entreprises et les organisations à renforcer leurs mesures de cybersécurité afin de protéger les informations personnelles du New Yorker. L’accord d’aujourd’hui poursuit le travail du procureur général James pour tenir les entreprises responsables de leur mauvaise cybersécurité. En décembre 2022, le procureur général James a obtenu 200 000 $ d’un étudiant producteur de casquettes et de robes, Herff Jones, pour ne pas avoir protégé les informations personnelles des consommateurs. En octobre 2022, le procureur général James a annoncé un accord de 1,2 million de dollars avec le propriétaire de SHEIN et Zoetop pour avoir omis de gérer correctement une violation de données qui a compromis les informations personnelles de millions de consommateurs à l’échelle nationale. En juin 2022, le procureur général James obtenu 400 000 $ de Wegmans et a exigé que le détaillant améliore la sécurité du stockage des données après qu’une violation de données ait exposé les informations personnelles des consommateurs. En mars 2022, le procureur général James a publié une alerte aux consommateurs informant les clients de T-Mobile prendre les mesures appropriées pour protéger leurs informations personnelles suite à une violation de données.

Cette affaire a été traitée par le procureur général adjoint Jina John et le chef adjoint du bureau Clark Russell, avec l’aide spéciale de l’analyste Internet et technologie Nishaant Goswamy, sous la supervision du chef du bureau du bureau Internet et technologie Kim Berger. Le Bureau de l’Internet et de la technologie fait partie de la Division de la justice économique, qui est dirigée par le sous-procureur général en chef Chris D’Angelo et supervisée par la première sous-procureure générale Jennifer Levy.