Ohio Medicaid signale une fuite de données de fournisseur et d'autres violations de données de santé

Source : Getty Images

Par Jill McKeon

22 juin 2021 - Les violations de données et les attaques de ransomwares ont fait des ravages dans le secteur de la santé ces derniers mois. Entre les mains de mauvais acteurs, des millions de patients ont été informés par leurs prestataires de soins que leurs données personnelles avaient été exposées.

Les récentes directives du National Institute of Standards and Technology (NIST) visent à aider les prestataires de soins de santé à atténuer les risques de cybersécurité grâce à son projet de « profil de cadre de cybersécurité pour la gestion des risques liés aux ransomwares ». Malgré le nombre croissant de directives gouvernementales, les cyberattaques augmentent régulièrement.

Un article récent du Wall Street Journal a déclaré que Ryuk, une organisation de piratage d'Europe de l'Est, a attaqué au moins 235 établissements de santé, leur rapportant simultanément plus de 100 millions de dollars et provoquant des temps d'arrêt du DSE et des retards dans les soins aux patients.

Parmi les autres violations récentes des données de soins de santé, citons l'exposition de plus d'un milliard d'enregistrements de recherche CVS Health et une attaque de ransomware contre St. Joseph's/Candler en Géorgie qui a entraîné d'importants temps d'arrêt du DSE.

Ohio Medicaid a déclaré lundi que son gestionnaire de données, Maximus, avait eu un incident de cybersécurité entre le 17 et le 19 mai qui pourrait avoir révélé des noms, des numéros de sécurité sociale et des adresses de fournisseurs, selon le journal local Dayton Daily News.

EN SAVOIR PLUS:Insight Global fait appel à d'anciens employés pour sécuriser la violation de données PII

Une application contenant des données d'identification et de licence Ohio Medicaid a été consultée sans autorisation par une partie inconnue. Les participants à Medicaid n'ont pas été touchés par la violation, et cela n'a affecté aucun autre client ou serveur Maximus. Rien n'indique que les informations aient été utilisées à mauvais escient, selon le rapport.

Maximus a envoyé des lettres aux fournisseurs concernés le 18 juin. Selon Dayton Daily News, Maximus a déclaré dans un communiqué qu'il "avait rapidement mis hors ligne l'application concernée, lancé une enquête avec une entreprise de cybersécurité de premier plan, activé des protocoles de réponse et informé les forces de l'ordre".

"Parce que l'activité non autorisée a été détectée à un stade très précoce, Maximus pense que notre réponse rapide a limité les impacts potentiellement négatifs."

Maximus, l'un des plus grands sous-traitants de services gouvernementaux de données sur la santé au monde, a déclaré que les fournisseurs dont les données pourraient avoir été exposées recevront deux ans de services de surveillance du crédit.

Une attaque de rançongiciel CaptureRx récemment signalée a touché au moins 17 organisations de soins de santé et a compté sur l'accès non autorisé aux fichiers en février. La société aide les hôpitaux à gérer leur programme de médicaments 340B, permettant aux patients d'obtenir des ordonnances à moindre coût. Les dossiers des patients contenant les dates de naissance, les noms et les informations sur les ordonnances ont été consultés.

EN SAVOIR PLUS:CVS Health fait face à une violation de données, 1B Search Records exposés

Plus récemment, Catholic Health à Buffalo, New York, a été informé que les patients des hôpitaux Mount St. Mary's et Sisters of Charity étaient touchés par la violation de CaptureRx. Catholic Health a déclaré que les données démographiques, les informations sur les comptes bancaires et les numéros de sécurité sociale n'étaient pas inclus dans la violation, selon le média local WKBW.

"Nous nous efforçons de protéger la vie privée de nos patients et toute information liée à leurs soins", a déclaré Kimberly Whistler, responsable de la conformité et de la confidentialité chez Catholic Health, à WXBW.

"Tous les patients dont les noms et les informations ont été affectés seront informés la semaine prochaine par CaptureRx. Parce que la violation n'incluait aucune information financière, nous pensons qu'elle présente peu de risques pour les patients, cependant, par précaution, il est toujours sage de surveiller vos comptes et informations de crédit et signaler toute activité suspecte ou suspicion de vol d'identité aux autorités compétentes."

La clinique de fertilité de Géorgie Reproductive Biology Associates, ainsi que sa filiale My Egg Bank North America, ont révélé qu'environ 38 000 patients avaient été touchés par une attaque de ransomware en avril.

Dans un avis de son avocat général Matthew Maruca, Reproductive Biology Associates et My Egg Bank North America ont déclaré: "Nous avons pris connaissance pour la première fois d'un incident de données potentiel le 16 avril 2021 lorsque nous avons découvert qu'un serveur de fichiers contenant des données d'embryologie était crypté et donc inaccessible."

EN SAVOIR PLUS:St. Joseph's/Candler subit une attaque de ransomware et un temps d'arrêt du DSE

Après avoir déterminé que la violation était le résultat d'un rançongiciel, le serveur a été arrêté le même jour. L'avis indiquait que l'acteur avait eu accès au système le 7 avril 2021, puis à nouveau le 10 avril.

Le 7 juin, l'organisation a identifié les personnes concernées et a retrouvé l'accès aux fichiers cryptés. De plus, il a reçu la confirmation de l'acteur que toutes les données ont été supprimées. L'enquête est toujours en cours, mais le conseiller juridique a déclaré dans l'avis que les résultats de laboratoire, les noms complets, les adresses, les numéros de sécurité sociale et les informations sur les tissus humains pourraient avoir été exposés.

"À la suite de cet incident, nous avons lancé une enquête par l'intermédiaire d'une société de services informatiques professionnels de premier plan pour mener des entretiens et analyser les données médico-légales liées à l'incident. Plus précisément, nous avons déployé le suivi et la surveillance des appareils pour aider à contenir et à enquêter sur la portée de l'incident. l'incident, ainsi que des analyses médico-légales pour comprendre l'étendue de l'incident", indique l'avis.

En outre, la clinique a organisé une formation sur la cybersécurité avec le personnel et ajouté des contrôles internes pour prévenir de futures attaques, y compris "travailler avec un fournisseur de services de cybersécurité pour remédier aux mesures prises par l'acteur et restaurer nos systèmes, mettre à jour, corriger et, dans certains cas, remplacer l'infrastructure aux dernières versions, en déployant des réinitialisations de mots de passe pour les utilisateurs appropriés, en reconstruisant les systèmes concernés et en déployant une protection avancée contre les antivirus et les logiciels malveillants. »