Notificación de violación, atención médica, HIPAA / HITECH El incidente de Specialty Networks con sede en Tennessee es el último ataque a socios comercialesMarianne Kolbasuk McGee (HealthInfoSec) • 3 de septiembre de 2024 Imagen: Getty Images Un proveedor que proporciona sistemas de información y servicios de transcripción a prácticas de radiología está alertando a 411,037 personas de un ataque descubierto en diciembre pasado que involucra el robo de datos confidenciales. La empresa ya enfrenta al menos cuatro demandas colectivas federales propuestas relacionadas con el ataque. Ver también: Seminario web en vivo | Construyendo una empresa y un ecosistema de atención médica más resilientes La violación, informada a los reguladores federales el 15 de agosto por Specialty Networks con sede en Chattanooga, Tennessee, es el último de una serie de ataques a socios comerciales regulados por HIPAA. Specialty Networks en una declaración de violación dijo que el incidente también afectó a varios clientes, incluidos Prime Imaging; Diagnostic Radiology Consultants, PA; Allied Mobile; y Videre Diagnostics. Specialty Networks dijo que detectó una actividad inusual en su red el 18 de diciembre de 2023 e inmediatamente tomó medidas para proteger la red y contratar a una empresa de respuesta a incidentes y análisis forense digital para que realizara una investigación. La investigación reveló que una semana antes del descubrimiento, alrededor del 11 de diciembre, un actor de amenazas adquirió algunos datos almacenados en los sistemas de Specialty Networks. Specialty Networks luego realizó una revisión exhaustiva de los datos potencialmente afectados y el 31 de mayo determinó que cierta información personal y de salud protegida podría haberse visto afectada. Specialty Networks dijo que luego notificó a los proveedores de atención médica afectados y alrededor del 24 de junio coordinó sus esfuerzos de notificación con ellos y verificó la información y las direcciones postales de las personas afectadas por la violación. La información potencialmente comprometida en el incidente incluye nombre, fecha de nacimiento, número de licencia de conducir, número de Seguro Social, número de historial médico, información sobre tratamientos y afecciones, diagnósticos, medicamentos e información de seguro médico. La compañía ofrece 12 meses de monitoreo complementario de identidad y crédito a los afectados. Specialty Networks dijo que informó el incidente al FBI y que ha tomado «medidas adicionales para evitar que ocurra un evento similar en el futuro». En las últimas dos semanas, se han presentado al menos cuatro demandas colectivas propuestas contra Specialty Networks en un tribunal federal de Tennessee. Todas las demandas hacen acusaciones similares, incluida la de que Specialty Networks fue negligente al no salvaguardar la información confidencial de los pacientes, incluidos los datos pertenecientes a menores, lo que los puso en riesgo de robo de identidad y delitos de fraude. Todas las demandas buscan una reparación similar, incluidos daños financieros y órdenes judiciales para que Specialty Networks mejore sus prácticas de seguridad de datos. Specialty Networks no respondió de inmediato a la solicitud de Information Security Media Group para comentar sobre las demandas y para obtener detalles adicionales sobre el hackeo, incluido el tipo de ciberataque. La demanda presentada el 20 de agosto por Daniel Smith, un demandante principal en una de las demandas presentadas contra Specialty Networks, indica que era paciente del proveedor de servicios de imágenes médicas con sede en Chattanooga, Tennessee, Prime Imaging. Prime Imaging no respondió de inmediato a la solicitud de comentarios de ISMG sobre el incidente. Un miembro del personal de Prime Imaging le dijo a ISMG que Specialty Networks «administra» sus sistemas de TI. Specialty Networks dijo en su declaración de violación que, además de los sistemas de información de radiología y los servicios de transcripción, proporciona soluciones de gestión de prácticas empresariales a las instalaciones médicas. Hasta el martes, el hackeo de Specialty Networks se encuentra entre las 25 violaciones de datos de salud más grandes reportadas hasta ahora este año al Departamento de Salud y Servicios Humanos de EE. UU. Las 471 violaciones importantes reportadas hasta ahora a la Oficina de Derechos Civiles del HHS este año afectaron a más de 54,1 millones de personas. De ellas, 159 infracciones, incluido el hackeo de Specialty Networks, estaban vinculadas a socios comerciales, según el sitio web de la herramienta de informe de violaciones HIPAA de la OCR del HHS. Esas infracciones de socios comerciales afectaron a casi 22,8 millones de personas. URL de la publicación original: https://www.databreachtoday.com/radiology-vendor-hack-hits-4-practices-411000-people-a-26186