Notificación de violación, ciberdelito, gestión de fraude y ciberdelito Los datos robados incluyen información médica del paciente, según la notificación de violaciónMarianne Kolbasuk McGee (HealthInfoSec) • 9 de julio de 2024 Imagen: FBCS Un cobrador de deudas con sede en Pensilvania informó originalmente a los reguladores en abril que un pirata informático comprometió la información personal identificable de 1,9 millones de personas. Ahora, la empresa dice que la violación de datos afectó a más de 4 millones de personas e incluyó información médica del paciente. Ver también: Ataque de ransomware al NHS: las infraestructuras de la industria de la salud son soluciones críticas para las empresas financieras y los consumidores en un informe de violación actualizado al fiscal general de Maine el lunes, dijo que casi 7.800 residentes de Maine se encuentran entre los más de 4 millones de personas que ahora se determina que están afectadas por un incidente de piratería que la empresa informó por primera vez el 26 de abril (ver: Resumen de violaciones: REvil Hacker recibe una sentencia de casi 14 años). Desde entonces, FBCS ha presentado cuatro informes de violación actualizados a los reguladores de Maine por el mismo incidente, y el número de personas afectadas ha aumentado cada vez. La última actualización, que incluye una carta de notificación de violación de muestra que FBCS presentó el lunes al fiscal general de Maine, informó por primera vez que la información médica del paciente estaba entre los datos comprometidos. FBCS informó el incidente de piratería a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. el 4 de junio como una violación de HIPAA que afectó a aproximadamente 209,000 personas. En su último informe de violación al fiscal general de Maine, FBCS dijo que el 26 de febrero descubrió un acceso no autorizado a ciertos sistemas en su red. El incidente no afectó a los sistemas informáticos fuera de la red de FBCS, dijo la compañía. La investigación de FBCS sobre el incidente determinó que su entorno de TI estuvo sujeto a acceso no autorizado entre el 14 y el 26 de febrero, tiempo durante el cual el actor no autorizado tuvo la capacidad de ver o adquirir cierta información en la red de FBCS. La información a la que se puede haber accedido o exfiltrado durante el incidente incluye el nombre de las personas, el número de la Seguridad Social, la fecha de nacimiento, la información de la cuenta y la información médica. A las personas afectadas se les ofrece 12 meses de monitoreo de identidad y crédito. FBCS no respondió de inmediato a la solicitud de Information Security Media Group para obtener detalles adicionales, incluido el tipo de información médica que se vio comprometida en la violación y por qué sigue aumentando el número de personas afectadas. Riesgos del cobrador de deudas FBCS no es el primer cobrador de deudas que informa sobre una violación importante que afecta a millones de personas y que implica el compromiso de información médica. El incidente más grande de este tipo, que afectó a más de 22 millones de personas, fue un ataque informado por primera vez en 2019 por American Medical Collection Agency, cuyos clientes incluían algunos de los laboratorios médicos más grandes de EE. UU. AMCA y su empresa matriz, Retrieval-Masters Creditors Bureau, terminaron enfrentándose a acciones de ejecución de varios fiscales generales estatales y múltiples demandas colectivas propuestas relacionadas con el incidente. La empresa finalmente se declaró en quiebra debido a los costos asociados con la violación (ver: La declaración de quiebra de AMCA a raíz de la violación revela el impacto). Los cobradores de deudas que sufren ataques informáticos y otras violaciones de seguridad (y cuyos clientes incluyen empresas de atención médica) pueden presentar una serie de posibles problemas de seguridad de datos y cumplimiento normativo para ellos mismos y sus clientes, dijeron algunos expertos. “Un cobrador de deudas se considera un socio comercial según la HIPAA cuando cobra deudas relacionadas con servicios o bienes médicos en nombre de una entidad cubierta”, dijo la abogada regulatoria Rachel Rose. Los cobradores de deudas plantean el mismo nivel de riesgo que cualquier entidad cubierta, socio comercial o subcontratista que maneja información médica protegida y no cumple con los requisitos de las reglas de privacidad, seguridad y notificación de violaciones de la HIPAA, dijo. “Esto se debe a que tienen las mismas obligaciones que otros socios comerciales y, en caso de una violación, podría abrir una puerta trasera directamente a la infraestructura de TI de la entidad cubierta. Depende de cómo la agencia de cobranza de deudas esté intercambiando información confidencial con la entidad cubierta”. “Lo que es imperativo es garantizar que se realice un análisis de riesgos exhaustivo que tenga en cuenta las diversas rutas de entrada y salida de la PHI”, dijo Rose, que no está involucrada en los incidentes de FBCS o AMCA, pero que ha representado a otros cobradores de deudas médicas. La violación de FBCS subraya la importancia de contar con capacitación continua, programas integrales de cumplimiento y salvaguardas técnicas, administrativas y físicas adecuadas, dijo Rose. Eso incluye la implementación de las mejores prácticas recomendadas por el Instituto Nacional de Estándares y Tecnologías, la Sección 405(d) de la Ley de Ciberseguridad de 2015 y la Norma de Seguridad HIPAA, dijo. URL original de la publicación: https://www.databreachtoday.com/4-million-people-affected-by-debt-collector-data-theft-hack-a-25730