В марте 2018 года министерство здравоохранения и социальных служб США сообщило об инциденте в QuadMed. Компания открывает и обеспечивает работу медпунктов на предприятиях по всей стране. Нередко клиенты хранят всю информацию, связанную с медицинским обслуживанием персонала, в общей базе данных. Доступ к медицинским записям в таком случае есть у сотрудников QuadMed и сотрудников предприятия-клиента. Ошибка в настройках разграничения прав доступа привела к тому, что под угрозой оказались персональные данные нескольких тысяч пациентов.

Инцидент затронул трех клиентов компании: производственный холдинг Hillenbrand, логистическую компанию Stoughton Trailers и производителя бытовой техники Whirlpool Corporation.

Пункт первичной медицинской помощи открылся на территории Hillenbrand в 2013 году. Спустя четыре года QuadMed узнала о потенциальной технической проблеме. Из-за ошибки в настройках уровень доступа сотрудников Hillenbrand к общей базе оказался выше, чем требовалось. Уязвимые данные включали разнообразные сведения: имена пациентов, даты обращений за помощью, результаты анализов, диагнозы и истории болезней, отметки о вакцинации и скрининге, информацию о компенсациях работникам. После обнаружения уязвимости обе компании внедрили новые протоколы ИБ и провели совместное обучение сотрудников в соответствии с требованиями закона HIPAA

Аналогичная проблема – превышение уровня доступа из-за тех же неправильных настроек – возникла и с сотрудниками Stoughton Trailers. В течение минимум одного года они не только пользовались доступом к большему массиву данных, чем требовалось, но и могли обращаться к базе с неавторизированных устройств.

Спустя всего два месяца после того, как QuadMed официально признала проблемы с доступом к чувствительным медицинским данным и отчиталась об устранении нарушения, стало известно еще об одном случае. Ситуация с неправомерным доступом повторилась в компании Whirlpool.

Согласно отчету, который компания QuadMed подготовила для Минздрава США, под угрозой утечки оставались данные 4 549 пациентов.

В ежемесячном отчете об инцидентах безопасности в здравоохранении Protenus Breach Barometer отмечается, что в среднем между возникновением и обнаружением угрозы проходит 325 дней. Медиана, рассчитанная для 13 крупных инцидентов, составляет 34 дня: в половине инцидентов требовалось меньше 34 дней для выявления и устранения уязвимости, еще в половине – больше.

В случае QuadMed между ошибкой, которую допустил сотрудник в настройках доступа к базе данных, и обнаружением проблемы прошло 1510 дней, или чуть больше четырех лет.