В компании UnitedHealth сообщили, что в результате атаки на ее дочернюю структуру Change Healthcare в общей сложности пострадало 190 миллионов человек.
По словам представителей компании, масштаб взлома оказался самым крупным за всю историю американской системы здравоохранения: у пользователей украли медицинскую информацию, данные страховых полисов и личные сведения, включая номера телефонов и даже номера удостоверений личности.
Согласно первоначальным данным, в феврале 2024 года хакерская группировка BlackCat (ALPHV) получила доступ к внутренним системам Change Healthcare, используя украденные учетные данные. Затем злоумышленники выгрузили 6 ТБ информации и зашифровали компьютерную сеть, заставив компанию выплатить крупный выкуп, чтобы предотвратить утечку и восстановить работу. После выхода из переговоров с одними вымогателями компания оказалась вынуждена выплатить второй выкуп другой группе, обещавшей удалить украденные данные.
Несмотря на уверения UnitedHealth в отсутствии доказательств массового неправомерного использования похищенных сведений, в сети уже появлялись фрагменты этой информации. Общие убытки от инцидента оцениваются в 2,45 миллиарда долларов по итогам третьего квартала 2024 года: в них входят расходы на расследование, усиление кибербезопасности, а также прямые финансовые потери от простоев и выплат выкупов.
Отметим, что в России были приняты значительные изменения в законодательстве, направленные на усиление защиты персональных данных. Так, с 30 мая 2025 года вступают в силу изменения в КоАП РФ, предусматривающие крупные штрафы для операторов персональных данных за действия или бездействие, приведшие к незаконной передаче этих сведений. За утечку данных в количестве от 1 тыс. до 10 тыс. человек должностным лицам грозит штраф от 200 тыс. до 400 тыс. рублей, а юридическим лицам – от 3 млн до 5 млн рублей. В случае более масштабных утечек штрафы возрастают – от 1 до 1,3 млн рублей для должностных лиц и от 10 до 15 млн для юрлиц.
Кроме этого, для компаний предусмотрена ответственность в виде оборотных штрафов. В 2025 году его размер будет составлять 3% от оборота, а максимальная сумма может достигнуть 500 млн рублей. Также предусмотрена ответственность за несвоевременное оповещение об утечке и уголовная ответственность за незаконное использование персональных данных в виде лишения свободы сроком до 10 лет.
Член Общественного совета при Минцифры России, член Ассоциации юристов России Ольга Бороненко считает, что кибератака на Change Healthcare затронула всю систему здравоохранения США, нарушив работу клиник, аптек и страховых компаний. Это еще одно доказательство, что отсутствие жесткого регулирования в сфере защиты данных несет угрозу не только отдельным пользователям, но и целым отраслям.
"Российское законодательство сегодня идет по пути ужесточения. Штрафы, в том числе оборотные, ответственность за несвоевременное оповещение – все это заставляет компании серьезнее относиться к безопасности, делая ее обеспечение выгодным", - отметила эксперт.
Управляющий партнер агентства "Смена" (Группа AIC) Артем Геллер подчеркнул, что кража 6 ТБ персональных данных – это цифровая катастрофа, которая приведет к долгосрочным последствиям для миллионов американцев.
"Медицинские данные, страховые номера, адреса – это идеальный набор для мошенников, использующих их в схемах социальной инженерии", - уверен эксперт.
Он отметил, что как раз для предотвращения подобных сценариев в России вводится строгое законодательное регулирование оборота персональных данных и серьезные наказания за утечки, потому что только государственный контроль обеспечивает реальную защиту персональных данных.
