HIPAA/HITECH, Respuesta a incidentes y violaciones, Operaciones de seguridad ¿Por qué tardó tanto en notificar a los reguladores y a los pacientes afectados? Marianne Kolbasuk McGee (HealthInfoSec) • 26 de agosto de 2024 El Centro Médico Barbour en Alabama está notificando a los pacientes cuyos datos se vieron comprometidos en un ataque informático en octubre de 2023 (Imagen: Centro Médico Barbour) Un pequeño hospital rural de Alabama está notificando a más de 61.000 pacientes que su información confidencial se vio potencialmente comprometida en un incidente de piratería informática de octubre de 2023. El hospital atribuyó el retraso de 10 meses entre el descubrimiento del incidente y la notificación a las dificultades para identificar a las personas y la información afectada en el ataque. Consulte también: El navegador empresarial respalda la atención médica y la resiliencia cibernética El Centro Médico Barbour, un hospital de cuidados agudos de 74 camas en Eufaula, Alabama, informó el incidente el 22 de agosto que afectó a 61.014 personas. Hasta el lunes, el sitio web de la herramienta de notificación de infracciones de HIPAA del Departamento de Salud y Servicios Humanos de EE. UU. aún no mostraba un informe a los reguladores federales por parte del Centro Médico Barbour sobre el incidente. En un aviso de infracción publicado en su sitio web el jueves, el Centro Médico Barbour dijo que el 29 de octubre de 2023 detectó actividad sospechosa en su entorno de red. La investigación, concluida el 8 de diciembre de 2023, determinó que un actor no autorizado accedió a ciertos archivos y datos almacenados dentro de la red del hospital. El Centro Médico Barbour dijo que luego comenzó una revisión interna de los datos almacenados en el servidor afectado en el momento del incidente. «Después de nuestra propia revisión, el 21 de mayo, MCB contrató a un proveedor de minería de datos de buena reputación para que nos ayudara en la reconstrucción y revisión detallada y que requiere mucho tiempo de los datos almacenados en el servidor en el momento de este incidente para comprender mejor qué información se vio afectada». El 31 de julio, el proveedor de minería de datos identificó a las personas cuyos datos confidenciales se incluyeron dentro de los datos comprometidos. La información potencialmente afectada varía entre las personas, pero puede incluir nombre, fecha de nacimiento, dirección, información del seguro médico, licencia de conducir e información médica. Para un subconjunto más pequeño de personas, los datos potencialmente comprometidos incluyen números de Seguro Social, información del pasaporte e información financiera afectada. Según la regla de notificación de infracciones de HIPAA, las entidades reguladas deben notificar a las personas afectadas a más tardar 60 días después del descubrimiento de una infracción de HIPAA, e informar el incidente a la Oficina de Derechos Civiles del HHS dentro de ese mismo período de tiempo cuando la infracción haya afectado a 500 o más personas. Si no se ha identificado a todas las personas afectadas para la notificación dentro del plazo de 60 días, las entidades cubiertas deben publicar un aviso de infracción de HIPAA sustituto en su sitio web público. URL de la publicación original: https://www.databreachtoday.com/small-rural-alabama-hospital-reports-big-2023-hacking-breach-a-26137