Notificación de infracción,HIPAA/HITECH,Operaciones de seguridad La empresa comenzará a notificar a las personas afectadas por la infracción a finales de julioMarianne Kolbasuk McGee (HealthInfoSec) •21 de junio de 2024 Change Healthcare, una unidad de Optum de UnitedHealth Group, ha comenzado a notificar a los clientes cuyos datos fueron comprometido en el ataque de ransomware de la compañía en febrero. (Imagen: Change Healthcare) Change Healthcare dice que ha comenzado a notificar a los clientes cuyos datos se vieron comprometidos en un ataque de ransomware en febrero que afectó a decenas de proveedores de atención médica, planes de seguro médico y otras organizaciones. Ver también: Reducción de la complejidad en TI para el cuidado de la salud La compañía comenzará a notificar a las personas afectadas a fines de julio, dijo. Los avisos a los clientes afectados comenzaron a enviarse el jueves. Un ataque de ransomware en febrero contra el intermediario de facturación médica, que maneja alrededor del 6% de todos los pagos del sistema de salud de EE. UU., causó importantes perturbaciones para los proveedores de atención médica de EE. UU. La compañía, una subsidiaria de UnitedHealth Group, pagó un rescate de 22 millones de dólares al grupo de ransomware de habla rusa Alphv, también conocido como BlackCat, después de que robó alrededor de 6 terabytes de datos (ver: UnitedHealth Group anticipa una violación masiva de la atención médica). Change Healthcare dijo que no puede confirmar exactamente qué datos se han visto afectados para cada individuo involucrado, pero la información comprometida por los piratas informáticos incluía: información de contacto, como nombre y apellido, dirección, fecha de nacimiento, número de teléfono y dirección de correo electrónico; Información sobre seguros de salud, como planes/pólizas de salud primarios, secundarios u otros, compañías de seguros, números de identificación de miembro/grupo y números de identificación de pagadores de Medicaid, Medicare y el gobierno; Información de salud, como números de registros médicos, proveedores, diagnósticos, medicamentos, resultados de pruebas, imágenes, atención y tratamiento; Información de facturación, reclamos y pagos, como números de reclamos, números de cuenta, códigos de facturación, tarjetas de pago, información financiera y bancaria, pagos realizados y saldo adeudado; Otra información personal, incluidos números de Seguro Social, números de licencia de conducir o de identificación estatal y números de pasaporte. La compañía dijo que las personas “deben estar atentas y monitorear periódicamente la explicación de las declaraciones de beneficios recibidas de su plan de salud y las declaraciones de los proveedores de atención médica, así como los extractos bancarios y de tarjetas de crédito, los informes de crédito y las declaraciones de impuestos, para verificar si hay alguna actividad desconocida”. Los piratas informáticos de ransomware obtuvieron acceso a los datos de la empresa mediante el uso de credenciales robadas para acceder a un servicio de acceso remoto Citrix de la empresa no protegido por autenticación multifactor. United HealthGroup no respondió de inmediato a una consulta sobre la cantidad de clientes notificados y la cantidad estimada de personas afectadas. El director ejecutivo de la empresa, Andrew Witty, testificó ante dos comités del Congreso el mes pasado y dijo que hasta un tercio de la población de EE. UU. podría verse afectada por el incidente (ver: Legisladores interrogan al director ejecutivo de UnitedHealth sobre el ataque al cambio en la atención médica). UnitedHealth Group, en una declaración a Information Security Media Group, dijo que Change Healthcare ha completado una revisión de más del 90% de los archivos afectados y continúa sin ver evidencia de que materiales como registros médicos o historiales médicos completos hayan sido extraídos de sus sistemas. Notificación ‘continua’ La abogada reguladora Sara Goldstein del bufete de abogados BakerHostetler le dijo a ISMG que de los más de 100 clientes que representa el bufete, sólo aproximadamente el 15% ha recibido una actualización de Change Healthcare sobre la revisión de datos. «Anticipo que las actualizaciones se proporcionarán de forma continua», dijo. “A algunos clientes se les dijo que, hasta la fecha, según su revisión de datos en curso, CHC no ha encontrado nada de su PHI. Esto no significa que estén ‘fuera de peligro’, ya que la revisión de los datos aún está en progreso”, dijo. A otros clientes se les dijo que su información de salud protegida se vio afectada, y la actualización de Change Healthcare constituye un aviso de infracción, iniciando el reloj de 60 días para la notificación de HIPAA a las personas, dijo. Para los clientes que tienen PHI involucrada, Change Healthcare dijo que proporcionará notificaciones en su nombre, a menos que el cliente opte por no participar antes del 8 de julio, dijo. URL de la publicación original: https://www.databreachtoday.com/change-healthcare-begins-to-notify-clients-affected-by-hack-a-25597