Atención médica, HIPAA/HITECH, Respuesta a incidentes y violaciones La banda de cibercriminales RansomHub afirma haber filtrado 700 gigabytes de datos robados del laboratorioMarianne Kolbasuk McGee (HealthInfoSec) • 19 de agosto de 2024 American Clinical Solutions, que ofrece pruebas de drogas, informó a los reguladores federales que un ataque ha comprometido los datos de 300.000 personas. (Imagen: ACS) El laboratorio médico de pruebas de drogas de Florida American Clinical Solutions informó a los reguladores federales que 300.000 personas están atrapadas en un incidente de piratería ahora que la banda criminal RansomHub ha publicado 700 gigabytes de datos robados de la red del laboratorio. Ver también: El navegador empresarial respalda la atención médica y la resiliencia cibernética ACS, que proporciona pruebas de pacientes para narcóticos recetados e ilícitos a proveedores de atención médica, informó el incidente de piratería el 24 de julio a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. RansomHub, en su sitio de filtración de la red oscura, afirma que los 700 gigabytes de datos robados de ACS incluyen números de Seguro Social, direcciones, resultados de pruebas de drogas, registros médicos, información de seguros y otros detalles confidenciales. El sitio incluye resultados de pruebas de laboratorio desde enero de 2016 hasta mayo de 2024, el momento del presunto incidente de piratería. «La información sobre el uso de opioides y marihuana medicinal por parte de un individuo es extremadamente sensible», dijo el abogado de privacidad David Holtzman de la firma consultora HITprivacy LLC. «La información de pacientes desprotegida de este tipo podría causar un daño significativo a la reputación o hacer que las personas estén sujetas a compromisos a través de daños financieros, extorsión o amenazas a su estatus profesional», dijo Holtzman. Varios bufetes de abogados, incluidos Console & Associates PC y Chimicles Schwartz Kriner & Donaldson-Smith, ya han publicado declaraciones públicas en sus sitios web diciendo que están investigando el incidente para posibles demandas colectivas. Hasta el lunes, ACS no parece haber publicado una declaración de notificación de violación sobre el incidente en su sitio web. ACS tampoco respondió de inmediato a la solicitud de Information Security Media Group para obtener detalles sobre la violación de datos. “ACS puede estar agravando la amenaza al no alertar a los pacientes sobre la existencia del tipo o el alcance del incidente de violación”, dijo Holtzman. “Con suerte, estos hechos llevarán al HHS o a los fiscales generales estatales a investigar si ACS ha cumplido con los estándares de HIPAA y varias leyes estatales relacionadas con los avisos de notificación de violación”. Las organizaciones médicas reguladas por HIPAA generalmente deben notificar a las personas afectadas dentro de los 60 días posteriores al descubrimiento de una violación de la información médica protegida. Hay algunas excepciones limitadas para ese plazo de notificación de violación. “Podría ser que una agencia de aplicación de la ley haya transmitido que deberían esperar o que no hayan determinado el número total de personas afectadas”, dijo la abogada regulatoria Rachel Rose. “Probablemente, hay una discusión en marcha detrás de escena”, dijo, refiriéndose a por qué ACS aún no ha publicado una declaración pública sobre la violación. “Lo que también me llamó la atención es que esto involucra pruebas de drogas, que conllevan una mayor sensibilidad”, dijo. Si bien ASC no es un centro de tratamiento de trastornos por sustancias (tales centros caen bajo el paraguas de regulaciones de privacidad federales más estrictas de la Parte 2 del Título 42 del Código de Regulaciones Federales), la naturaleza sensible de la información de pruebas de drogas comprometida es preocupante, dijo. «Este tipo de PHI generalmente se considera más sensible debido a su naturaleza, análoga a la salud reproductiva, ciertas enfermedades como el SIDA o los registros de salud mental», dijo. ¿Quién es RansomHub? RansomHub apareció por primera vez en febrero y rápidamente se hizo responsable de importantes ataques informáticos en el sector de la salud y otros sectores. Fue la segunda banda en exigir un rescate a Change Healthcare después del ataque de ransomware de febrero de Alphv/BlackCat. Si bien la empresa matriz de Change Healthcare admitió haber pagado un rescate de $22 millones en el ataque, uno de los afiliados de BlackCat detrás del incidente del 21 de febrero afirmó que los administradores de BlackCat se quedaron con la totalidad del pago del rescate, en lugar de compartir la parte del afiliado. Eso llevó a RansomHub a afirmar tener la custodia de los datos robados de Change Healthcare y exigir un segundo rescate. UnitedHealth Group ha declarado públicamente que pagó solo un rescate en el incidente (ver: El ataque grupal de ransomware BlackCat parece ser una estafa de salida). RansomHub también afirmó estar detrás de un ataque de junio a la cadena de farmacias Rite Aid, que afectó la información de 2,2 millones de personas (ver: Rite Aid dice que un grupo de ransomware robó los datos de 2,2 millones de clientes). La empresa de seguridad Rapid7 en un informe reciente calificó a RansomHub como uno de los nuevos grupos de ransomware más notables. URL de la publicación original: https://www.databreachtoday.com/florida-based-drug-testing-lab-says-300000-affected-in-hack-a-26064