Notificación de infracciones, gestión de fraudes y delitos cibernéticos, proveedor de servicios de TI para el cuidado de la salud está enviando cartas individuales a las víctimas de forma continuaMarianne Kolbasuk McGee (HealthInfoSec) • 29 de julio de 2024 Imagen: Change Healthcare Millones de estadounidenses pronto recibirán una carta de notificación de infracción de Change Healthcare, que dijo el lunes que ha comenzado el proceso de notificación a las víctimas del ciberataque masivo y el robo de datos detectados por primera vez hace más de cinco meses. Ver también: La comunicación eficaz es clave para una ciberseguridad exitosa La empresa, en una sección actualizada de preguntas frecuentes sobre el incidente cibernético publicada en su sitio web el lunes, dijo que no tiene una fecha en la que grupos específicos de personas recibirán notificaciones, pero que el envío comenzó el 29 de julio. «Change Healthcare se compromete a notificar a las personas potencialmente afectadas lo más rápido posible, dado el volumen y la complejidad de los datos involucrados. Tenga en cuenta que es posible que no tengamos suficientes direcciones para todas las personas afectadas», dijo la empresa. Hasta el lunes, Change Healthcare no había publicado informes de violaciones relacionados con el incidente de piratería en el sitio web de la herramienta de informes de violaciones HIPAA del Departamento de Salud y Servicios Humanos de EE. UU. que enumera las violaciones de datos de salud que afectan a 500 o más personas (ver: Ascension Files Placeholder Breach Report for May Hack). La Oficina de Derechos Civiles del HHS ha dicho anteriormente que los informes se publican en el sitio web público después de que la agencia los haya examinado, un proceso que generalmente demora una o dos semanas. «La revisión de datos está en sus etapas finales, pero hemos analizado una cantidad suficiente de datos para comenzar a notificar», dijo un portavoz de Change Healthcare a Information Security Media Group. «Change Healthcare se compromete a notificar a las personas potencialmente afectadas lo más rápido posible dado el volumen y la complejidad de los datos involucrados». «En lugar de esperar hasta el final de nuestra revisión de datos, Change Healthcare continúa ofreciendo monitoreo de crédito gratuito y protección contra robo de identidad a cualquier persona preocupada de que sus datos puedan haber sido afectados». La OCR del HHS no respondió de inmediato a la solicitud de comentarios de ISMG sobre la notificación de violación de Change Healthcare. El 20 de junio, Change Healthcare publicó un aviso sustituto de violación de HIPAA en su sitio web para las organizaciones e individuos afectados por el incidente de piratería, diciendo que esperaba enviar notificaciones por escrito a fines de julio. Change Healthcare comenzó el mes pasado a notificar a los clientes cuyos datos se vieron afectados en el incidente (ver: Change Healthcare comienza a notificar a los clientes afectados por el hack). Change Healthcare recomendó el lunes a los clientes afectados que publiquen de manera destacada el aviso sustituto de violación de HIPAA de la compañía en la página de inicio de sus sitios web durante al menos 90 días consecutivos. «Este aviso sustituto contiene la información que Change Healthcare puede proporcionar en este momento mientras Change Healthcare está en sus últimas etapas de revisión de datos para identificar a los individuos afectados». Violación histórica Han pasado cinco meses desde el ciberataque masivo del 21 de febrero a Change Healthcare que cerró más de 100 servicios de TI durante semanas, interrumpiendo los procesos comerciales y clínicos de miles de médicos, farmacias y consultorios médicos. Los cibercriminales de ransomware de habla rusa BlackCat, también conocidos como AlphV, se atribuyeron la responsabilidad del ataque, y la compañía admite que pagó a los atacantes un rescate de $ 22 millones. BlackCat afirmó en la red oscura haber robado 4 terabytes de datos de pacientes (ver: Una segunda banda chantajea a UnitedHealth Group para pedir rescate). Change Healthcare se ha ofrecido a manejar la notificación de violaciones para los clientes afectados por el incidente, por lo que no está claro cuántas personas presentarán informes de violaciones a la OCR del HHS relacionados con el incidente. La OCR del HHS emitió anteriormente una guía actualizada sobre el incidente de Change Healthcare y la notificación de violaciones (ver: Los federales dicen que Change Healthcare puede manejar la notificación de violaciones). El director ejecutivo de UHG, Andrew Witty, testificó en mayo ante dos comités del Congreso que se estimaba que el incidente había afectado a la información médica protegida de hasta un tercio de la población estadounidense, o más de 100 millones de personas (ver: Los legisladores interrogan al director ejecutivo de UnitedHealth sobre el ataque a Change Healthcare). En un movimiento inusual, la OCR del HHS anunció en marzo que ya estaba investigando la violación de datos de Change Healthcare y el cumplimiento de la HIPAA de Change Healthcare y su empresa matriz, UnitedHealth Group (ver: Los federales lanzan una investigación sobre el ataque a Change Healthcare). Por lo general, la OCR del HHS no comienza una investigación de violación hasta que se ha presentado una violación o una queja de la HIPAA. La directora de OCR del HHS, Melanie Fontes Rainer, durante una charla informal en la Cumbre de Ciberseguridad en el Sector Sanitario de ISMG celebrada en Nueva York el 18 de julio, dijo a los asistentes que la naturaleza histórica del ciberataque a Change Healthcare justificaba la acción regulatoria temprana de la agencia. Se espera que el incidente dé lugar, con diferencia, al mayor evento de notificación de violación de datos sanitarios del país hasta la fecha. Change Healthcare dijo en su sitio web que, si bien el análisis de datos de la empresa está en curso, la información afectada puede incluir información como nombre, dirección, fecha de nacimiento, número de teléfono y correo electrónico, e información del seguro médico como planes/pólizas de salud primarios, secundarios u otros, compañías de seguros, números de identificación de miembros/grupos y números de identificación de pagadores de Medicaid-Medicare-gobierno. También se vio afectada la información sanitaria, como números de historial médico, proveedores, diagnósticos, medicamentos, resultados de pruebas, imágenes, atención y tratamiento, facturación e información de reclamaciones y pagos, como números de reclamación, números de cuenta, códigos de facturación, tarjetas de pago, información financiera y bancaria, pagos realizados y saldos adeudados. Otra información personal, como números de la Seguridad Social, licencias de conducir o números de identificación estatal, o números de pasaporte, también se ve potencialmente afectada. No todas las personas tienen la misma variedad de información comprometida, dijo la compañía. URL original de la publicación: https://www.databreachtoday.com/change-healthcare-begins-to-notify-millions-affected-by-hack-a-25874