Notificación de infracciones, HIPAA/HITECH, Operaciones de seguridad El análisis de mitad de año del «Muro de la vergüenza» de la OCR del HHS muestra que los ataques y las infracciones de los proveedores encabezan la listaMarianne Kolbasuk McGee (HealthInfoSec) • 11 de julio de 2024 Imagen: Getty Images Los ataques y los incidentes de los proveedores siguen dominando las principales tendencias de infracciones de datos de salud en 2024, pero un puñado de grandes incidentes que involucran «acceso o divulgación no autorizados» también encabezan la lista de las principales infracciones de datos de salud notificadas a los reguladores federales en lo que va del año. Ver también: Proteger la atención médica: minimizar el riesgo en un panorama de amenazas en constante cambio Hasta el jueves, una instantánea del sitio web de la herramienta de informes de violaciones de HIPAA del Departamento de Salud y Servicios Humanos muestra 384 violaciones importantes de datos de salud que afectaron a un total de 44,8 millones de personas reportadas entre el 1 de enero y el 30 de junio, o para mediados de 2024. De ellos, en 298 violaciones o alrededor del 77%, las organizaciones de atención médica y los socios informaron incidentes de piratería que afectaron a un total de 29,7 millones de personas, o alrededor del 66% de las personas afectadas hasta ahora este año por importantes violaciones de datos de salud que aparecen en el sitio web de HHS OCR. El proveedor de fisioterapia Concentra Health publicó el mayor hackeo en el sitio web de HHS OCR en lo que va de 2024 en enero. Afectó a casi 4 millones de personas. El incidente involucró el robo de datos de 2023 a la firma de servicios de transcripción médica Perry Johnson & Associates, que el año pasado afectó a más de una docena de otros clientes de la compañía y hasta ahora parece haber afectado a unos 14 millones de personas (ver: La violación de datos de un transcriptor médico afecta al menos a 9 millones). Pero no solo los ataques han comprometido la información médica protegida de millones. Setenta incidentes, que afectaron a más de 15 millones de personas, fueron reportados a la OCR del HHS como violaciones de «acceso/divulgación no autorizados». Hasta el jueves, uno de esos incidentes encabezaba la lista de las 10 mayores violaciones de datos de salud publicadas en el sitio web de la OCR del HHS este año. Esa violación, reportada en abril por el plan de salud Kaiser Foundation, involucró el uso previo de rastreadores en línea por parte de la organización en sus sitios web y afectó a 13,4 millones de personas, incluida la mayor parte de los incidentes etiquetados como «acceso/divulgación no autorizados» (ver: Kaiser Permanente notifica a 13,4 millones de personas sobre la violación de los rastreadores). Otra violación de acceso/divulgación no autorizada, informada por el sistema de salud Geisinger con sede en Pensilvania, que afectó a casi 1,3 millones de personas, se ubica hasta ahora como la séptima violación de datos de salud más grande publicada en el sitio web de la OCR del HHS en lo que va de año. Ese incidente involucró a un socio comercial de Geisinger, el ex empleado del proveedor de servicios de TI Nuance Communication, una unidad de Microsoft. En enero, el Departamento de Justicia de los EE. UU. acusó a ese individuo de un cargo de «obtención de información de una computadora protegida», que es un delito federal según la Ley de Fraude y Abuso Informático (ver: Ex empleado de Nuance acusado por violación que afecta a 1 millón). Las 10 mayores violaciones de datos de salud hasta el momento en 2024 Entidad violada Individuos afectados Kaiser Foundation 13,4 millones Concentra Health 4 millones Sav-Rx 2,8 millones WebTPA 2,5 millones Integris Health 2,4 millones Medical Management Resource Group 2,35 millones Geisinger 1,3 millones Eastern Radiologists 887.000 Superior Air-Ground Ambulance Service 858.000 Unite Here 791.000 Fuente: Departamento de Salud y Servicios Humanos de EE. UU. Los proveedores y otros socios comerciales externos que manejan información médica protegida continúan estando en el centro de muchas violaciones de datos de salud importantes reportadas a HHS OCR. Hasta ahora en 2024, los socios comerciales están reportados como «presentes» en 141 violaciones que afectaron a 17,5 millones de personas. Eso significa que este año los socios comerciales han sido responsables del 40% del número total de violaciones de datos de salud importantes reportadas a HHS OCR. Notablemente, hasta ahora, no se han incluido en el recuento de mitad de año los informes de infracciones relacionados con el ciberataque de febrero a Change Healthcare, que la empresa matriz UnitedHealth Group ha estimado que afectó a un tercio de la población estadounidense. UnitedHealth Group se ha ofrecido a encargarse de las tareas de notificación de infracciones para los clientes afectados por el incidente, por lo que no está claro si el ataque a Change Healthcare acabará apareciendo en el sitio web de la OCR del HHS como cientos de infracciones notificadas por UHG en nombre de las entidades cubiertas o como un solo informe que refleje el número total de los millones de personas probablemente afectadas (véase: Los fiscales generales estatales advierten a los consumidores sobre la infracción de Change Healthcare). Una vez que el ataque a Change Healthcare se refleje en el recuento de la OCR del HHS, se espera que las cifras de infracciones para 2024 aumenten drásticamente, en decenas de millones. También faltan hasta ahora los informes de infracciones relacionados con varias otras infracciones recientes dignas de mención, incluido un ataque de ransomware en mayo al sistema del hospital Ascension (véase: El malware descargado por los trabajadores provocó el ataque de ransomware Ascension). El cambio hacia víctimas más grandes Aunque los ataques informáticos y las violaciones de datos de socios comerciales han sido temas dominantes en las principales violaciones de datos de salud durante varios años, algunos expertos ven surgir otras tendencias. “El sector de la salud parece haber pasado a ser el objetivo de los ataques a organizaciones más grandes, que cuando se ven afectadas tienen un impacto descomunal en todo el sector”, dijo Mike Hamilton, fundador y CISO de la empresa de seguridad Critical Insight. Ese fue ciertamente el caso en el ataque a Change Healthcare, cuya empresa matriz, UnitedHealth Group, admite haber pagado un rescate de $22 millones a los atacantes de BlackCat. “Esos registros que son robados no se monetizan con tanta frecuencia vendiéndolos; más bien, se están utilizando como una herramienta de extorsión”, dijo Hamilton. “Esto conlleva el riesgo adicional de demandas colectivas y otros litigios, y los delincuentes lo saben y están aprovechando este riesgo”. Los incidentes cibernéticos en el sector de la salud son un riesgo previsible, lo que sugiere que los controles preventivos son insuficientes y que el riesgo debe mitigarse mediante la minimización del impacto, dijo. “Una buena monitorización de la red, los puntos finales y las aplicaciones en la nube combinada con la supervisión de analistas las 24 horas del día, los 7 días de la semana y una respuesta eficaz a los incidentes es una de las mejores inversiones para lograr la minimización del impacto”. Si bien algunas tendencias de infracciones están cambiando (y en la mayoría de los casos empeorando), la última instantánea del sitio web de infracciones de la OCR del HHS muestra signos continuos de mejora en algunas áreas. Hasta ahora, en 2024, solo ocho infracciones que afectaron a un total de 51 000 personas se vincularon a incidentes de robo o pérdida que involucraron computadoras portátiles, servidores y equipos similares sin cifrar. Hace menos de una década, ese tipo de infracciones dominaban el “muro de la vergüenza” y afectaban a millones de personas anualmente. Las infracciones de la HIPAA que involucran la pérdida y el robo de dispositivos informáticos y móviles se han desplomado en los últimos años a medida que más organizaciones han implementado el cifrado en esos productos. En total, el sitio web de la OCR del HHS muestra 6292 violaciones importantes de datos de salud que afectaron a más de 585,2 millones de personas denunciadas desde septiembre de 2009. URL de la publicación original: https://www.databreachtoday.com/major-health-data-breaches-how-are-trends-shifting-in-2024-a-25749