Ohio Medicaid informa sobre fuga de datos de proveedores y otras infracciones de datos de salud

Fuente: Getty Images

Por Jill McKeon

22 de junio de 2021: las violaciones de datos y los ataques de ransomware han causado estragos en el sector de la salud en los últimos meses. En manos de malos actores, millones de pacientes han recibido un aviso de sus proveedores de atención médica de que sus datos personales han sido expuestos.

La orientación reciente del Instituto Nacional de Estándares y Tecnología (NIST) tiene como objetivo ayudar a los proveedores de atención médica a mitigar los riesgos de ciberseguridad con su borrador del "Perfil del marco de ciberseguridad para la gestión de riesgos de ransomware". A pesar de la creciente cantidad de orientación gubernamental, los ataques cibernéticos aumentan constantemente.

Un artículo reciente del Wall Street Journal indicó que Ryuk, una organización de piratería informática de Europa del Este, ha atacado al menos 235 instalaciones de atención médica, lo que les ha proporcionado al mismo tiempo más de $100 millones y ha causado tiempo de inactividad de EHR y retrasos en la atención al paciente.

Otras violaciones recientes de datos de atención médica incluyen la exposición de más de mil millones de registros de búsqueda de CVS Health y un ataque de ransomware en St. Joseph's/Candler en Georgia que provocó un tiempo de inactividad significativo de EHR.

Medicaid de Ohio dijo el lunes que su administrador de datos, Maximus, tuvo un incidente de seguridad cibernética en algún momento entre el 17 y el 19 de mayo que puede haber expuesto nombres, números de seguro social y direcciones de proveedores, según el medio local de noticias Dayton Daily News.

LEER MÁS:Insight Global hace un llamado a los ex empleados para asegurar la filtración de datos PII

Una parte desconocida accedió sin autorización a una aplicación que contenía datos de credenciales y licencias de Medicaid de Ohio. Los participantes de Medicaid no se vieron afectados por la infracción y no afectó a ningún otro cliente o servidor de Maximus. No hay indicios de que la información haya sido mal utilizada, según el informe.

Maximus envió cartas a los proveedores afectados el 18 de junio. Según Dayton Daily News, Maximus dijo en un comunicado que "desconectó rápidamente la aplicación afectada, inició una investigación con una empresa líder en seguridad cibernética, activó protocolos de respuesta y notificó a la policía".

"Debido a que la actividad no autorizada se detectó en una etapa muy temprana, Maximus cree que nuestra respuesta rápida limitó los impactos potencialmente adversos".

Maximus, uno de los contratistas de servicios de datos de salud gubernamentales más grandes del mundo, declaró que los proveedores cuyos datos pueden haber estado expuestos recibirán dos años de servicios de monitoreo de crédito.

Un ataque de ransomware CaptureRx informado recientemente afectó al menos a 17 organizaciones de atención médica y contó con acceso no autorizado a archivos en febrero. La compañía ayuda a los hospitales a administrar su programa de medicamentos 340B, lo que permite a los pacientes obtener recetas a un costo menor. Se accedió a los archivos de los pacientes que contenían fechas de nacimiento, nombres e información de prescripción.

LEER MÁS:CVS Health se enfrenta a una filtración de datos, registros de búsqueda 1B expuestos

Más recientemente, se notificó a Catholic Health en Buffalo, Nueva York, que los pacientes de los hospitales Mount St. Mary's y Sisters of Charity se vieron afectados por la violación de CaptureRx. Catholic Health declaró que la información demográfica, la información de la cuenta bancaria y los números de Seguro Social no se incluyeron en la infracción, según el medio de comunicación local WKBW.

"Hacemos todo lo posible para proteger la privacidad de nuestros pacientes y cualquier información relacionada con su atención", dijo a WXBW Kimberly Whistler, oficial de privacidad y cumplimiento corporativo de Catholic Health.

"CaptureRx notificará a todos los pacientes cuyos nombres e información se vieron afectados la próxima semana. Debido a que la violación no incluyó ninguna información financiera, creemos que representa poco riesgo para los pacientes; sin embargo, como precaución, siempre es aconsejable monitorear sus cuentas y información de crédito e informar cualquier actividad sospechosa o sospecha de robo de identidad a las autoridades correspondientes".

La clínica de fertilidad de Georgia Reproductive Biology Associates, junto con su afiliado My Egg Bank North America, revelaron que aproximadamente 38 000 pacientes se vieron afectados por un ataque de ransomware en abril.

En un aviso de su abogado general, Matthew Maruca, Reproductive Biology Associates y My Egg Bank North America declararon: "Nos enteramos por primera vez de un posible incidente de datos el 16 de abril de 2021 cuando descubrimos que un servidor de archivos que contenía datos de embriología estaba encriptado y, por lo tanto, inaccesible."

LEER MÁS:St. Joseph's/Candler sufre ataque de ransomware, tiempo de inactividad de EHR

Después de determinar que la infracción fue el resultado de un ransomware, el servidor se cerró el mismo día. El aviso decía que el actor obtuvo acceso al sistema el 7 de abril de 2021 y nuevamente el 10 de abril.

El 7 de junio, la organización identificó a las personas afectadas y recuperó el acceso a los archivos cifrados. Además, recibió confirmación por parte del actor de que todos los datos han sido borrados. La investigación aún está en curso, pero el asesor legal dijo en el aviso que los resultados de laboratorio, los nombres completos, las direcciones, los números de Seguro Social y la información de tejido humano pueden haber estado expuestos.

"Como resultado de este incidente, iniciamos una investigación a través de una firma líder de servicios profesionales de TI para realizar entrevistas y analizar datos forenses relacionados con el incidente. Específicamente, implementamos el seguimiento y monitoreo de dispositivos para ayudar a contener e investigar el alcance del incidente". incidente, así como también realizó análisis forenses para comprender el alcance del incidente", decía el aviso.

Además, la clínica realizó capacitaciones en ciberseguridad con el personal y agregó controles internos para prevenir futuros ataques, incluido "trabajar con un proveedor de servicios de ciberseguridad para remediar las acciones tomadas por el actor y restaurar nuestros sistemas, actualizar, parchear y, en algunos casos, reemplazar la infraestructura". a las últimas versiones, implementando restablecimientos de contraseña para los usuarios apropiados, reconstruyendo los sistemas afectados e implementando protección antivirus y contra malware avanzada".