Notificación de infracciones, gestión de fraudes y delitos cibernéticos, atención médica El centro de pediatría de Chicago se negó a pagar el rescate al grupo de delitos cibernéticos RhysidaMarianne Kolbasuk McGee (HealthInfoSec) • 3 de julio de 2024 Ann & Robert H. Lurie Children’s Hospital of Chicago está notificando a casi 800.000 pacientes, empleados y otras personas cuyos datos se vieron comprometidos por los atacantes de Rhysida. (Imagen: Lurie Children’s) Un hospital pediátrico de Chicago está notificando a casi 800.000 personas que su información confidencial se vio comprometida en un ataque de ransomware a principios de este año. El grupo de ransomware como servicio Rhysida había exigido un rescate de 3,4 millones de dólares por los datos robados en el disruptivo ataque de enero. El hospital dijo que no pagó. Ver también: Ataque de ransomware al NHS: las infraestructuras de la industria de la salud son críticas En un aviso de violación publicado en su sitio web, Ann & Robert H. Lurie Children’s Hospital of Chicago dijo que su investigación sobre el incidente del ransomware determinó que los cibercriminales accedieron y copiaron la información almacenada en ciertos sistemas de TI (ver: Rhysida ofrece vender datos del Children’s Hospital por $3.4 millones). Los datos contenidos en el historial médico electrónico Epic de Lurie Children’s no fueron accedidos en el ataque, decía el aviso del hospital. Las personas potencialmente afectadas incluyen pacientes, sus familiares, empleados de Lurie Children’s y otros. La información que se vio comprometida varía entre las personas, pero incluye nombre, dirección, fecha de nacimiento, fechas de servicio, número de licencia de conducir, dirección de correo electrónico, información de reclamos de salud, plan de salud, número de beneficiario del plan de salud, condición médica o diagnóstico, número de historial médico, tratamiento médico, información de prescripción, número de Seguro Social y número de teléfono. Lurie Children’s Hospital, en un informe de violación presentado la semana pasada al fiscal general de Maine, dijo que el incidente afectó a 791,784 personas, incluidos ocho residentes de Maine. Hasta el miércoles, el incidente de piratería de Lurie Children’s aún no se había publicado en el sitio web de la herramienta de informes de violaciones de HIPAA del Departamento de Salud y Servicios Humanos de EE. UU. que enumera las principales violaciones de datos de salud que afectaron a 500 o más personas. «Lurie Children’s no pagó un rescate. Los expertos han advertido que realizar un pago a los ciberdelincuentes no garantiza la eliminación o recuperación de los datos que se han tomado», dijo el hospital en su aviso de violación. «Una vez que nuestro equipo de investigación identificó una cantidad de datos que se vieron afectados por los ciberdelincuentes, trabajamos en estrecha colaboración con las fuerzas del orden para recuperar esos datos». Lurie Children’s en una declaración a Information Security Media Group dijo que la investigación del hospital hasta la fecha «no ha identificado los datos afectados en la red oscura o en la esfera pública». El hospital ofrece a las personas afectadas 24 meses de monitoreo de identidad y crédito gratuito. «Lurie Children’s no está solo: muchas organizaciones hoy en día, especialmente hospitales y sistemas de salud en todo el país, enfrentan amenazas de ciberseguridad en constante evolución», dijo el hospital a ISMG. “Estamos trabajando en estrecha colaboración con nuestros expertos internos y externos para mejorar aún más la seguridad de nuestros sistemas. Lurie Children’s se toma en serio la seguridad de nuestro sistema y la información que se nos confía. Como tal, seguimos invirtiendo en nuestro programa y controles de ciberseguridad”. Los teléfonos y sistemas de TI de Lurie Children’s, incluido el acceso a sus registros médicos electrónicos y al portal de pacientes, estuvieron interrumpidos durante varias semanas mientras el hospital se recuperaba del ataque (ver: Sistemas y teléfonos aún sin conexión en el Chicago Children’s Hospital). Otras consideraciones Se ha presentado una propuesta de demanda colectiva alegando negligencia y otras reclamaciones contra Lurie Children’s en un tribunal federal de Illinois. Esa demanda, presentada por el tutor de un paciente menor afectado por el incidente en nombre de otras personas en situaciones similares, solicita al menos tres años de monitoreo de crédito, daños financieros y una orden judicial para que Lurie Children’s refuerce su programa de seguridad de datos. Rhysida, que se atribuyó el ataque y exigió 3,4 millones de dólares al Lurie Children’s, fue objeto de una alerta al sector sanitario por parte del Centro de Coordinación de Ciberseguridad del Sector Sanitario del HHS el pasado mes de agosto (véase: Las autoridades advierten al sector sanitario de los ataques del grupo Rhysida). El grupo cibercriminal surgió en mayo de 2023. Hasta el miércoles, el sitio web de vigilancia de la dark web DarkFeed contaba 101 víctimas de Rhysida. «Los estados-nación y sus organizaciones criminales afiliadas y activistas están atacando abiertamente al sector sanitario estadounidense con la intención de perturbar y desestabilizar», dijo Mike Hamilton, fundador y CISO de la empresa de seguridad Critical Insight. «El ataque contra Lurie Children’s y el robo de información personal identificable y de salud de menores muy probablemente tuvo únicamente el propósito de obtener beneficios delictivos y no fue llevado a cabo por un actor estatal». Cuando una entidad violada como Lurie Children’s se niega a pagar un rescate, «es posible que un abogado de demanda colectiva argumente que el hecho de no pagar la demanda de extorsión garantizó que los registros se harían públicos o se pondrían a la venta», dijo Hamilton. «Sin embargo, cuando se produce una divulgación no autorizada de información protegida, la compañía de seguros de la organización víctima suele ser la que decide si se paga o no el rescate. «Además, se puede argumentar que los delincuentes son deshonestos, e incluso pagar el rescate no proporciona garantía de que los registros no se harán públicos o se venderán en la red oscura. Es poco probable que utilizar el argumento de la falta de pago como base para una demanda colectiva tenga éxito», dijo. Las entidades sanitarias que manejan información relacionada con niños y otros registros especialmente sensibles deberían considerar ejercer una vigilancia adicional para salvaguardar esos datos, dijeron algunos expertos. “Si bien no se requieren precauciones legales adicionales para proteger la información médica de identificación individual de los menores o la información médica protegida, su información, al igual que las notas de psicoterapia o el tratamiento de trastornos por consumo de sustancias, no solo tiene una mayor sensibilidad asociada, sino que puede ser explotada de otras maneras”, dijo la abogada regulatoria Rachel Rose. Los menores, dijo, “corren el riesgo de ser víctimas de intimidación, tráfico y prostitución en línea. Es fundamental garantizar que se realice un análisis de riesgo anual para garantizar que se implementen salvaguardas técnicas, administrativas y físicas”. Los controles aplicados a la protección de la confidencialidad e integridad de la información deben basarse en el riesgo, dijo Hamilton. “Dado que la información sobre la salud y la privacidad de los niños es altamente monetizable y que empíricamente vemos que se roba de manera rutinaria, se le debe brindar la mayor protección posible”, dijo. “Los controles excesivos podrían incluir una prohibición del acceso a Internet del usuario, por ejemplo, para cortar el uso del correo electrónico personal como método de acceso inicial”. Los menores cuya información se ve comprometida en ataques de piratería y otros incidentes de seguridad de datos son particularmente vulnerables al robo de identidad y al fraude, así como a otros posibles usos indebidos, durante períodos de tiempo potencialmente largos. “En primer lugar, no toda la información se utiliza de inmediato. Puede aparecer años después, cuando la persona sea mayor de edad”, dijo Rose. “En segundo lugar, si un ciberdelincuente rastrea a las personas y sus páginas de redes sociales o piratea sus teléfonos, podría haber otros datos, incluidas fotografías, que los ciberdelincuentes podrían explotar. “Por último, subraya la importancia de la supervisión del crédito a lo largo de la vida y de la utilización de servicios que permitan a la persona activar y desactivar cuando un tercero puede acceder a su perfil y puntuaciones de crédito”, dijo. URL original de la publicación: https://www.databreachtoday.com/childrens-hospital-notifies-800000-data-theft-in-attack-a-25695