В США принят первый закон о защите персональных медицинских данных

Александр Панасенко 21 Июля 2009 - 10:27

Системы защиты от утечек конфиденциальной информации (DLP)

...

Администрация штата Калифорния за последние 5 месяцев получила более 800 отчетов об утечках конфиденциальных данных в сфере здравоохранения, после того как 1 января 2009 года вступил в силу новый закон об обязательном информировании потерпевших об утечках их персональных данных. Теперь эксперты думают, как реагировать на лавину этих сообщений.

В соответствии с принятым законом, медицинские организации Калифорнии обязаны информировать Департамент здравоохранения штата о случаях преднамеренной или случайной утечки персональной информации пациентов компаний. Однако, по заявлению представителей Департамента, они не ожидали такого потока сообщений в столь короткий период, и предполагают, что количество сообщений об утечках будет только расти, сообщает журнал Американской ассоциации обработки медицинской информации.

Помимо сообщений об утечках были зарегистрированы и жалобы пациентов клиник. Чиновники провели полное расследование 122-х случаев и по 166 из них подтвердили факт утечки. Типы утечек варьируются от случайной отправки информации о пациенте и результатов анализов по факсу до намеренной слежки. Большинство утечек все же непреднамеренные.

По сообщению Journal, администрация может наложить штраф на организации или частные лица в размере до $250,000 за нарушения безопасности, в зависимости от ситуации и размера нанесенного ущерба.

Медицинский Центр «Kaiser Permanente Bellflower», расположенный в Лос-Анджелесе, - первый из оштрафованных на данную сумму после того, как выяснилось, что 23 сотрудника центра, не имея полномочий, просматривали медицинские записи пациентки Нади Сулеман. 34-х летняя Сулеман, мать-одиночка, получила известность в этом году, родив одновременно восьмерых детей.

Из госпиталя было уволено 15 сотрудников, остальные 8 человек были наказаны дисциплинарно. Но для администрации штата этого оказалось недостаточно. В мае Центр был оштрафован после того, как было обнаружено недобросовестное отношение к защите информации пациентов. Руководство центра лишь проинформировало служащих о недопустимости несанкционированного доступа, но практически ничего не сделало для возможности контроля такого доступа.

Американская актриса Фара Фаусет, скончавшаяся две недели назад, также присылала жалобу в администрацию штата, обвиняя данный медицинский центр в предоставлении информации о ней репортеру National Enquirer.

Закон о защите персональных данных был принят в Калифорнии в июле 2003 года. В соответствии с законом, все организации, предоставляющие коммерческие услуги, обязаны информировать своих клиентов в случае утечки их персональных данных, как то ФИО, номера социального страхования или номера кредитных карт. Закон помог выявить степень уязвимости защиты данных и побудил другие штаты последовать их примеру. Новый закон о защите персональных медицинских данных Калифорнии - первый в США, его рассматривают и остальные штаты. Однако работникам сферы здравоохранения, естественно, не понравилась строгость закона.

Николай Федотов, ведущий аналитик InfoWatch: «Специалиста по ИБ с российским опытом поражает в этом сообщении вот что. Несмотря на грозящие штрафы, руководство клиник дружно кинулось информировать власти о своих утечках. Не о чужих, заметьте, а о своих собственных, в которых оно само виновато если не прямо, то косвенно. Судя по количеству отчётов, никто не стал утаивать инцидентов.

Давайте представим, что было бы в российской поликлинике, если бы ввели аналогичную обязанность. Сколько покаянных уведомлений прислали бы врачи в Минздрав? Правильно. Но почему?

Кто сказал «менталитет»? Вы бы ещё «пассионарность» припомнили! Бытие определяет сознание, а не наоборот. Дело в следующем. В российских учреждениях (не только медицинских) отсутствует механизм, делающий утаивание инцидентов невыгодным. А вот американцы такой механизм создали. И он срабатывает для всех без исключения служащих их медучреждений - и китайцев, и индусов, и славян. Механизм прост до безобразия: если сам на себя не донесёшь, непременно донесут другие, и будет хуже.

Перенимать опыт и вводить аналогичное уведомление об утечках можно. Но вначале необходимо построить аналогичную систему поощрения всеобщего стукачества. Без этого закон исполняться не будет».

Источник

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Апреля 2026 - 13:53

Трояны Общее

Вредоносов в open source стало почти в 12 раз больше за два года

Эксперты компании «Информзащита» заявили о резком росте числа вредоносных программ в экосистемах софта с открытым исходным кодом. По их данным, за последние два года количество таких случаев увеличилось почти в 12 раз, причём основной всплеск пришёлся уже на начало 2026 года — на этот период пришлось более 80% всех зафиксированных инцидентов.

Параллельно растёт и практический эффект для бизнеса. Как отмечают исследователи, уже более половины компаний сообщили, что находили в своих цепочках поставки ПО подозрительные или подтверждённо вредоносные сторонние пакеты.

Причина, по сути, лежит на поверхности: современная разработка слишком сильно завязана на внешние компоненты. По оценке экспертов, доля опенсорс-кода в корпоративных приложениях сегодня может достигать 70–90%. А это значит, что вместе с несколькими прямыми зависимостями в проект часто приезжают ещё сотни транзитивных — и вся эта конструкция становится всё менее прозрачной и всё более сложной для контроля.

На этом фоне злоумышленники всё активнее действуют через доверие к экосистеме. Один из главных сценариев — компрометация аккаунтов разработчиков и мейнтейнеров пакетов. По данным «Информзащиты», в 2025 году число атак через захват таких учётных записей выросло более чем в 12 раз год к году. После этого вредоносный код может распространяться под видом вполне обычного обновления.

Отдельной проблемой стал и так называемый slopsquatting. Это схема, при которой злоумышленники заранее регистрируют пакеты с названиями, похожими на те, что могут «придумать» ИИ-ассистенты в ответ на запрос разработчика. Дальше всё просто: человек доверяет подсказке, ставит несуществовавшую раньше библиотеку — и получает зловред.

Ситуацию усугубляет любовь индустрии к быстрым обновлениям. По оценке экспертов, около 60% команд внедряют новые версии компонентов не реже одного раза в неделю. Из-за этого окно между публикацией вредоносного пакета и его попаданием во внутреннюю инфраструктуру компании может сократиться буквально до нескольких часов. При этом только 21% организаций сознательно выдерживают паузу перед установкой новых версий.

Есть и ещё одна проблема: не все вообще хорошо понимают, что именно у них используется. Примерно четверть компаний, как утверждают в «Информзащите», до сих пор не имеют централизованного контроля за источниками библиотек и их обновлениями.

Сильнее всего, по оценке экспертов, рискуют отрасли с высокой скоростью разработки и большим количеством внешнего кода. На ИТ и разработку ПО приходится 28% выявленных инцидентов, на финансовый сектор — 19%, на ретейл и электронную коммерцию — 17%, на телеком — 12%, на энергетику и промышленность — 9%. Остальные случаи распределяются между медиа, образованием и госсектором.

В самой «Информзащите» считают, что старый подход к open source как к удобному и почти бесплатному строительному материалу больше не работает. Если раньше основная головная боль была в уязвимостях легитимного кода, то теперь всё чаще речь идёт о прямом вредоносном содержимом, которое выглядит как штатное обновление и может попасть в инфраструктуру практически мгновенно.

Специалисты рекомендуют жёстче контролировать источники пакетов, использовать внутренние репозитории, фиксировать версии зависимостей, не обновляться вслепую и лучше защищать рабочие места разработчиков и сборочные контуры.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!