Gestión de riesgos de terceros, gobernanza y gestión de riesgos, atención médica HealthEquity dice que las credenciales comprometidas de un proveedor provocaron una violación de datosMarianne Kolbasuk McGee (HealthInfoSec) • 5 de julio de 2024 Imagen: Getty El administrador del plan de beneficios de atención médica HealthEquity dijo que los piratas informáticos obtuvieron datos confidenciales en una violación que involucró credenciales comprometidas en poder de un proveedor externo. El incidente no interrumpió los sistemas de TI de la empresa. Consulte también: Protección de la atención médica: minimización del riesgo en un panorama de amenazas en constante cambio En una presentación del martes ante los reguladores federales de EE. UU., dijo que la compañía «se dio cuenta, a través del monitoreo de rutina, del comportamiento anómalo de un dispositivo de uso personal que pertenece a un socio comercial». La compañía concluyó que la cuenta de usuario del proveedor externo había sido comprometida por un actor no autorizado, que usó esa cuenta para acceder a la información. También se determinó que algunos datos habían sido «transferidos fuera de los sistemas del socio». La información afectada incluye información de identificación personal e información de salud protegida perteneciente a ciertos miembros de los beneficios de HealthEquity. El incidente no causó interrupciones en los sistemas de TI, servicios u operaciones comerciales de HealthEquity, y no se encontró ningún código malicioso en los sistemas de HealthEquity, dijo la compañía. HealthEquity está en el proceso de notificar a los socios y clientes afectados, así como de identificar y notificar a los miembros individuales cuya información se vio afectada por el incidente. Le dijo a la Comisión de Bolsa y Valores de Estados Unidos que no considera que el evento haya tenido un «efecto adverso material» en su negocio, operaciones o resultados financieros. También reveló la presentación de una reclamación a un proveedor de seguros cibernéticos y su creencia de que la póliza debería cubrir los costos del incidente. HealthEquity, con sede en Draper, Utah, dice en su sitio web que más de 120.000 organizaciones y 14 millones de miembros utilizan sus servicios de gestión de beneficios. HealthEquity en una declaración a Information Security Media Group dijo que el proveedor externo tuvo acceso a los datos de HealthEquity guardados en un servidor de SharePoint. Hasta el viernes, el incidente de HealthEquity no aparecía publicado en el sitio web de la herramienta de informes de violaciones de HIPAA del Departamento de Salud y Servicios Humanos de EE. UU. que enumera las violaciones de datos de salud que afectaron a 500 o más personas. Otro incidente de HealthEquity, en Kentucky En un incidente separado y no relacionado de HealthEquity, la oficina del gabinete de personal del gobernador de Kentucky, Andy Beshear, en una declaración del 21 de junio, dijo que la empresa le había notificado el 14 de mayo que 449 personas que participaban en el plan de salud de los empleados de Kentucky se vieron afectadas por un incidente de seguridad de datos en la empresa. HealthEquity administra cuentas de gastos flexibles y acuerdos de reembolso de salud en nombre del plan de salud de los empleados de Kentucky. La declaración de Kentucky decía que HealthEquity determinó que se presumía que el «evento de fraude potencial» involucraba a «malos actores» que accedieron a las cuentas de los miembros con el objetivo de recibir dinero de los reembolsos de reclamaciones. «No se sabe que se haya comprometido ninguna información de identificación personal, incluidos los números de seguro social o los números de cuenta bancaria», decía la declaración. “Aunque el portal de miembros de HealthEquity oculta información de identificación personal e información de cuentas bancarias existentes, sí brinda la posibilidad de ver reclamos de reembolso presentados previamente, que pueden contener PHI y/o PII”, decía la declaración del gobierno de Kentucky. “Sin embargo, no hay evidencia que respalde que los malos actores hayan visto documentación de reclamos anteriores en la cuenta afectada”. HealthEquity está investigando si algún reembolso de reclamos fue presentado o redirigido de manera fraudulenta, y se ha comprometido a restaurar las cuentas de los miembros al saldo anterior si la empresa determina que algún fondo de miembro de HRA o FSA fue afectado, decía la declaración de Kentucky. No hay evidencia de que los sistemas de TI o los datos de recursos humanos del estado se hayan visto comprometidos en el incidente, decía la declaración de Kentucky. HealthEquity le dijo a ISMG que la violación reportada a la SEC que involucra al compromiso de terceros de HealthEquity es un “incidente aislado” y no está relacionado con el incidente de Kentucky. URL de la publicación original: https://www.databreachtoday.com/health-benefits-administrator-reports-3rd-party-hack-to-sec-a-25715