Notificación de violación, gestión de fraude y delitos cibernéticos, atención médica Mientras tanto, continúa la espera del informe de violación de Change Healthcare en un ataque masivoMarianne Kolbasuk McGee (HealthInfoSec) • 26 de julio de 2024 Ascension ha presentado un informe preliminar de violación a los reguladores federales, y continúa la espera del informe de violación de Change Healthcare. Ninguna de las entidades ha comenzado a enviar notificaciones por correo a las personas afectadas. (Imagen: Getty Images) La cadena de hospitales estadounidense Ascension ha presentado su primer informe de violación a los reguladores federales sobre su ataque de ransomware del 8 de mayo, que implicó el robo de datos de siete servidores e interrumpió los servicios de atención al paciente en instalaciones de varios estados durante semanas. El aviso es un marcador de posición que dice que la violación afectó al menos a 500 personas. Ver también: Protección de la atención médica: minimización del riesgo en un panorama de amenazas en constante cambio Ascension es una de las dos empresas de atención médica afectadas por ataques de ransomware altamente disruptivos y de alto perfil. Se espera que el proveedor de software Change Healthcare informe sobre la violación de datos a raíz de un ciberataque de febrero a fines de julio. Se espera que los dos incidentes combinados afecten a decenas de millones de personas. El informe del 3 de julio de Ascension al Departamento de Salud y Servicios Humanos de EE. UU. apareció el viernes en el sitio web de la herramienta de informes de violaciones de HIPAA de la Oficina de Derechos Civiles del HHS, que enumera las principales violaciones de HIPAA que afectaron a 500 o más personas. Ascension, en un comunicado el viernes, le dijo a Information Security Media Group que presentó el informe provisional a la OCR del HHS para cumplir con el plazo de notificación de violaciones de 60 días para informar sobre los compromisos de información médica protegida que afectaron a 500 o más personas. «Este informe fue preliminar y se presentó para garantizar que Ascension cumpliera con sus obligaciones regulatorias. Ascension continúa trabajando junto con expertos externos para revisar la naturaleza y el alcance de los datos afectados por el incidente de mayo», dice el comunicado. «Una vez que se complete esta revisión, Ascension finalizará sus hallazgos, actualizará su informe a la OCR y notificará a las personas, de acuerdo con nuestras obligaciones legales y regulatorias». Se espera que el análisis de los datos afectados por parte de Ascension tome varias semanas más. El análisis de la brecha de Ascension podría tomar varias semanas más. El grupo con sede en Missouri dijo en junio que los atacantes de ransomware robaron archivos de siete de los 25.000 servidores de la organización después de obtener acceso a su red de TI cuando un empleado descargó inadvertidamente un archivo que contenía malware (ver: El malware descargado por un trabajador provocó el ataque de ransomware de Ascension). Fuentes cercanas a la investigación de Ascension han dicho que el grupo de ransomware de habla rusa Black Basta estaba detrás del ataque, pero Ascension no ha comentado públicamente sobre el atacante. Poco después de descubrir el incidente el 8 de mayo, Ascension cerró los registros médicos electrónicos, la farmacia y otros sistemas de TI clínicos en la mayoría de los 19 estados donde opera sus 140 hospitales y otras instalaciones de atención médica (ver: El impacto de la interrupción del servicio por ciberataque de Ascension varía según la región). La organización dijo en actualizaciones publicadas en su sitio web que los sistemas y servicios de TI se restauraron en las regiones que se vieron afectadas por la interrupción. Mientras tanto, la espera continúa para que Change Healthcare presente a los reguladores federales un informe de violación y comience a notificar a las decenas de millones de personas cuya información confidencial fue potencialmente comprometida en el ciberataque masivo de la compañía del 21 de febrero. Change Healthcare, la unidad de servicios de TI de UnitedHealth Group, emitió el mes pasado un aviso de violación de HIPAA «sustituto» y comenzó a notificar a los clientes del sector de la salud afectados por el incidente, diciendo que la notificación de la violación a las personas afectadas no es probable que comience hasta fines de julio (ver: Change Healthcare comienza a notificar a los clientes afectados por el hackeo). Al 18 de julio, Change Healthcare todavía no había presentado un informe de violación a la OCR del HHS, dijo Melanie Fontes Rainer, directora de la agencia federal, durante una charla informal en la Cumbre de Ciberseguridad en el Cuidado de la Salud del Information Security Media Group en la ciudad de Nueva York. Change Healthcare dijo que espera comenzar con las notificaciones de violaciones individuales a fines de julio. Hasta el viernes, el sitio web de informes de violaciones de la OCR del HHS todavía no mostraba un informe de Change Healthcare. Change Healthcare, en un comunicado emitido el viernes, le dijo a ISMG que la compañía sigue actualizando públicamente el estado del incidente y emitió su notificación de violación sustitutiva el mes pasado. Change Healthcare también está en comunicación regular con HHS OCR y otros reguladores sobre su proceso de notificación. “Nos comprometemos a notificar a las personas potencialmente afectadas lo antes posible y estamos brindando de inmediato apoyo y protecciones sólidas a las personas preocupadas por la posibilidad de que sus datos se vean afectados”, dijo Change Healthcare. Se han revisado más del 90% de los archivos afectados, dijo la compañía. La abogada regulatoria Sara Goldstein del bufete de abogados BakerHostetler dijo que espera que las notificaciones de Change Healthcare comiencen en los próximos días. “Las entidades cubiertas por HIPAA deben proporcionar notificación a las personas lo antes posible, dentro de los 60 días posteriores al descubrimiento del incidente. Con incidentes grandes, como los ataques de ransomware, es muy común que las entidades cubiertas no hayan completado sus investigaciones o no hayan identificado a todas las personas que requieren notificación de un incidente dentro de los 60 días posteriores al descubrimiento”, dijo. Por lo tanto, una estrategia que muchas organizaciones adoptan es notificar a la mayor cantidad de personas posible y proporcionar un aviso sustituto, un aviso a los medios y un aviso a la OCR del HHS dentro de los 60 días posteriores al descubrimiento, y luego actualizar esas notificaciones a medida que haya más información disponible, dijo. A principios de este mes, los fiscales generales estatales de Massachusetts, California, New Hampshire y varios otros estados emitieron advertencias a los consumidores sobre un posible robo de identidad y otros delitos de fraude relacionados con los datos robados en el ataque a Change Healthcare. Esas alertas a los consumidores siguieron a una carta enviada por 22 fiscales generales estatales en junio al director ejecutivo de UHG, Andrew Witty, instando a la empresa a brindar más transparencia y tomar «medidas significativas» para proteger a las entidades de atención médica, farmacias y pacientes afectados por el incidente (ver: Fiscales generales estatales, grupos de la industria instan a tomar medidas en la saga Change Health). Witty testificó ante dos comités del Congreso en abril que el ataque a Change Healthcare por parte de la banda de ransomware AlphV/BlackCat afectó potencialmente la información de un tercio de la población de EE. UU., o alrededor de 100 millones de personas. Witty dijo que UHG pagó una demanda de rescate de $22 millones (ver: El director ejecutivo de UnitedHealth: pagar el rescate fue la «decisión más difícil» de la historia). La abogada regulatoria Rachel Rose dijo que cuando las entidades cubiertas se acercan a la fecha límite de 60 días para informar sobre violaciones importantes de HIPAA a la OCR del HHS pero aún no están seguras sobre el número exacto de personas afectadas, recomienda que las organizaciones informen los incidentes como si afectaran a «al menos 500 personas» o «500 personas conocidas en este momento», además de decir que se proporcionará más información próximamente. «Por lo tanto, se cumple el plazo de 60 días y la divulgación es precisa, pero da margen para obtener información adicional, incluidas las personas afectadas, si es necesario», dijo. Rose dijo que la OCR del HHS ha estado en comunicación regular con Change Healthcare, y las regulaciones de HIPAA permiten cierto margen de maniobra cuando las fuerzas del orden, como el FBI u otros reguladores, están involucrados en la investigación de un caso. «Es posible que se haya cambiado el plazo para que Change Healthcare informe formalmente de acuerdo con el lenguaje regulatorio existente», dijo. URL de la publicación original: https://www.databreachtoday.com/ascension-files-placeholder-breach-report-for-may-hack-a-25865