Notificación de infracciones, delitos cibernéticos, gestión del fraude y delitos cibernéticos La infracción es el último incidente cibernético importante informado por un proveedor de imágenes médicas Marianne Kolbasuk McGee (HealthInfoSec) •19 de junio de 2024 Imagen: Getty Images Una práctica de radiología especializada con sede en Minnesota está notificando a más de 500 000 personas que su Los piratas informáticos accedieron a información confidencial y potencialmente la adquirieron a principios de este año. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son críticas El incidente es una de varias violaciones importantes de datos de salud que los radiólogos informaron a los reguladores en los últimos meses y que afectan a cientos de miles de pacientes. Eden Prairie, Consulting Radiologists Ltd., con sede en Minnesota, en un informe dirigido al fiscal general de Maine el 14 de junio, dijo que casi 512.000 personas, incluidos 47 residentes de Maine, se vieron afectados por su reciente piratería informática en el «sistema externo». CRL, un consultorio propiedad de médicos que brinda servicios de interpretación basados ​​en telerradiología para más de 100 centros de atención médica en Minnesota y áreas circundantes, dijo que descubrió el incidente cuando el consultorio detectó actividad inusual en su entorno de red el 12 de febrero. CRL dijo que tomó medidas de inmediato para proteger su red y contrató a una empresa especializada en ciberseguridad para investigar la naturaleza y el alcance del incidente. “Como resultado de la investigación, CRL descubrió que un actor no autorizado accedió a ciertos archivos y datos almacenados dentro de nuestra red. Al enterarse de esto, CRL comenzó una reconstrucción y revisión detallada y que llevó mucho tiempo de los datos almacenados en el servidor en el momento de este incidente para comprender de quién fue la información afectada”. El 17 de abril, CRL identificó a las personas cuyos datos se vieron afectados en el incidente. La información a la que “posiblemente se accedió o adquirió” incluye nombre, fecha de nacimiento, dirección, información del seguro médico e información médica. Pequeños subconjuntos de pacientes también vieron afectados su número de Seguro Social o su número de licencia de conducir, y otro pequeño subconjunto incluía hojas frontales e informes de imágenes, dijo CRL. El tipo de información comprometida varía entre los individuos, dijo CRL. «En este momento, no tenemos evidencia de que un tercero haya hecho un mal uso de la información», dijo la práctica en un aviso de incumplimiento publicado en su sitio web. CRL ofrece 12 meses de monitoreo de identidad y crédito gratuito a las personas afectadas. Para ayudar a prevenir incidentes similares en el futuro, CRL dijo que ha implementado herramientas de monitoreo adicionales y continuará mejorando la seguridad de sus sistemas. Un abogado que representa a CRL en su notificación al fiscal general de Maine no respondió de inmediato a la solicitud de Information Security Media Group de detalles adicionales sobre la violación, incluido si el incidente involucró ransomware o demandas de extorsión. El incidente del CRL es la última gran infracción de piratería informada por los consultorios de radiología a los reguladores en lo que va del año. Hasta el miércoles, la herramienta de informes de infracciones HIPAA del Departamento de Salud y Servicios Humanos de EE. UU. muestra que la mayor de estas infracciones de radiología hasta ahora en 2024 es un incidente de piratería informática que involucra la exfiltración de datos, reportado por Eastern Radiologists Inc., con sede en Carolina del Norte, el 29 de febrero como que afecta a casi 887.000 personas. Yakima Valley Radiology, con sede en el estado de Washington, informó a la Oficina de Derechos Civiles del HHS el 1 de marzo sobre un incidente de piratería informática que afectó a más de 235.000 personas. Hasta la fecha, Shields Health Care Group, con sede en Massachusetts, informó a HHS OCR el mayor hackeo a un proveedor de imágenes médicas en 2022, que afectó a más de 2 millones de pacientes (ver: Hack a un proveedor de imágenes médicas afecta datos de 2 millones). Shields se enfrenta a una consolidación de siete demandas colectivas propuestas en un tribunal federal de Massachusetts en relación con ese incidente. Factores contribuyentes Los expertos citan una variedad de razones por las cuales los consultorios de radiología y los centros de imágenes médicas son objetivos principales para los ciberdelincuentes. “Se sabe que la atención médica tiene una seguridad más flexible que otras industrias reguladas como la banca. Y dentro de este sector, se percibe que las clínicas ambulatorias tienen una seguridad aún más débil que los planes de salud y las instalaciones más grandes”, dijo Kate Borten, presidenta de la firma de privacidad y seguridad The Marblehead Group. «La radiología puede destacarse porque estos sitios tienen toda la información de salud habitual, además de grandes volúmenes de imágenes», dijo. «Aunque el objetivo principal de los atacantes suele ser obtener dinero rápido y fácil, los malos creativos podrían utilizar las imágenes para fines más nefastos, como chantajear a los pacientes y facturación fraudulenta», afirmó. Los centros de imágenes médicas y otros centros de radiología son un objetivo atractivo para los piratas informáticos también por otras razones, dijo Tom Walsh, presidente de la consultora de privacidad y seguridad tw-Security. “No existe una forma sencilla de cifrar imágenes. Las imágenes de radiología generalmente tienen identificadores de pacientes limitados incluidos en la imagen, como el nombre del paciente, número de registro médico, edad, sexo, etc.”, dijo. «Ha habido casos en los que una ‘buena’ imagen se vende en el mercado negro para ayudar a las personas que necesitan una ‘buena’ imagen para ciertos propósitos», dijo. Eso incluye pasar un examen físico que incluye imágenes médicas para calificar para un trabajo o solicitar una visa para trabajar o vivir en otro país, dijo. “La gente desesperada pagará para engañar al sistema. Es oferta y demanda”, afirmó. Si bien el cifrado de imágenes puede no ser factible, se deben implementar otros controles de compensación, como la autenticación multifactor para obtener acceso a un sistema de comunicación y archivo de imágenes o un sistema de información radiológica, «donde los informes dictados se almacenan y tienen la mayor confidencialidad». información”, dijo Walsh. “Radiología es uno de los departamentos más ocupados de un hospital. A veces se hacen concesiones en materia de seguridad para acomodar al radiólogo ocupado y facilitar el trabajo”, dijo. «Pero lo que es conveniente para los usuarios a veces también lo es para el atacante». Además de las graves preocupaciones sobre la privacidad y la seguridad de los datos que implican las violaciones de radiología, la seguridad del paciente es otra de las principales preocupaciones en este tipo de ataques, dijo Borten. «Un ataque a la red podría provocar la manipulación del dispositivo, lo que podría afectar algunos o todos los resultados», dijo Borten. «Esto sería realmente malo ya que, a menos que se detecte, podría afectar directamente la atención al paciente», dijo. «El miedo a tal resultado podría llevar a una organización a pagar un alto rescate». URL de la publicación original: https://www.databreachtoday.com/radiology-practice-hack-affects-SENSITIVE-data-512000-a-25569