Aviso de violação confirma ataque cibernético no One Brooklyn Health, ocorrido em novembro
O Departamento de Saúde do Estado de Nova York confirmou à SC Media que uma interrupção na rede One Brooklyn Health em novembro foi um ataque cibernético. (Guarda Nacional do Exército)
Um Brooklyn Health emitiu um aviso de violação, esclarecendo as interrupções de rede relatadas enfrentadas pelo provedor de Nova York em novembro e dezembro.
OBH manteve-se relativamente quieto em meio à cobertura dos meios de comunicação locais sobre pacientes que sofreram atrasos no atendimento por causa da violação. Como a SC Media relatou anteriormente , seus hospitais foram forçados a ficar offline devido a um problema inexplicável de TI em novembro, com os provedores operando sob o tempo de inatividade do registro eletrônico de saúde e aproveitando os processos em papel para manter o atendimento ao paciente.
O Departamento de Saúde do Estado de Nova York confirmou à SC Media que estava ciente do incidente e estava trabalhando com a OBH para priorizar a segurança do paciente. No entanto, o sistema de saúde forneceu poucos detalhes sobre a interrupção ou o ataque, para grande frustração dos pacientes.
O aviso confirma que o “incidente de segurança cibernética” ocorreu em 19 de novembro e afetou três hospitais OBH e locais de atendimento afiliados: Brookdale Hospital Medical Center, Interfaith Medical Center e Kingsbrook Jewish Medical Center. Esses hospitais da rede de segurança atendem a aproximadamente 1 milhão de pacientes com poucos recursos no bairro de Flatbush, no Brooklyn.
O incidente afetou todos os sistemas de computador e interrompeu temporariamente certos procedimentos operacionais. Embora a descrição do incidente aponte para ransomware, as autoridades não confirmaram a causa por trás do ataque.
A OBH desligou os sistemas proativamente após o ataque e se envolveu com um especialista externo para determinar a natureza do ataque. A perícia revelou que o acesso aos sistemas OBH começou mais de quatro meses antes do ataque ser implantado, permitindo que o agente da ameaça “copiasse uma quantidade limitada de dados” da rede.
A equipe de investigação ainda está revisando o conteúdo dos dados comprometidos para determinar exatamente quais informações de saúde protegidas ou dados pessoais estavam contidos nos arquivos afetados. A avaliação inicial confirmou que algumas informações do paciente faziam parte dos dados filtrados.
OBH confirmou que os nomes dos pacientes, datas de nascimento, dados de cobrança e reivindicações, detalhes do tratamento, números de registros médicos, prescrições e informações de seguro de saúde foram comprometidos.
A aplicação da lei foi contatada e os líderes do sistema de saúde continuam a cooperar com sua investigação independente em andamento. A OBH está revisando suas políticas de proteção de dados e protocolos de treinamento existentes, depois de implementar medidas de segurança aprimoradas e ferramentas de monitoramento.
NextGen adicionado à postagem na dark web do ALPHV
No início da semana passada, os atores por trás do ransomware BlackCat, também conhecido como ALPHV, publicaram um novo post em seu site escuro alegando ter roubado um tesouro de dados da NextGen Healthcare. A NextGen emite plataformas de TI de saúde, EHR, ferramentas de gerenciamento de práticas para provedores de cuidados ambulatoriais.
A postagem apareceu em 17 de janeiro com várias outras supostas vítimas fora do setor de saúde. Em um comentário enviado à SC Media, um porta-voz da NextGen Healthcare confirmou que está “ciente dessa alegação” e “tem trabalhado com os principais especialistas em segurança cibernética para investigar e remediar”.
“Contivemos imediatamente a ameaça, protegemos nossa rede e retornamos às operações normais”, explicou o porta-voz. A “revisão forense está em andamento e, até o momento, não descobrimos nenhuma evidência de acesso ou exfiltração de dados de clientes ou pacientes. A privacidade e a segurança de nossos clientes e das informações de seus pacientes são de extrema importância para nós.”
O Departamento de Saúde e Serviços Humanos emitiu recentemente um alerta sobre a ameaça do gato preto ao setor em dezembro, emitindo um aviso quase idêntico no início deste mês. O grupo “excepcionalmente capaz” provavelmente é operado por agentes de ameaças com experiência significativa.
O Centro de Coordenação de Cibersegurança do HHS alertou que o ALPHV é “uma das operações de Ransomware como serviço (RaaS) mais sofisticadas no ecossistema cibercriminoso global”, como uma variante operada por humanos. O BlackCat deve preocupar todas as organizações provedoras, pois suas habilidades são tecnicamente superiores a outras variantes de RaaS, com uma gama mais ampla de ambientes corporativos.
BayCare Clinic relata violação ligada ao uso da ferramenta de rastreamento Pixel
A BayCare Clinic está notificando 134.000 de seus pacientes que seus dados foram comprometidos devido ao uso das ferramentas de rastreamento Google e Meta Pixel em seu portal de pacientes MyCareBay. A BayCare Clinic é a maior clínica de atendimento especializado de propriedade de médicos no nordeste de Wisconsin e na Península Superior de Michigan e faz parte da Advocate Aurora Health.
O aviso publicado em seu site direciona os pacientes para a notificação de pixel publicada anteriormente no site da Advocate Aurora. No entanto, tanto o aviso do paciente quanto a página de perguntas frequentes postadas no site da empresa controladora foram retiradas do ar.
Conforme relatado pela SC Media, a Advocate Aurora informou anteriormente aos pacientes que suas informações de saúde protegidas foram compartilhadas com fornecedores terceirizados, como Google e Facebook, como resultado do uso de ferramentas de rastreamento de pixel em seus sites de portal de pacientes, aplicativos e algumas ferramentas de agendamento. .
O sistema de saúde usava anteriormente as tecnologias de rastreamento “para entender como os pacientes e outras pessoas interagem com nossos sites”, medindo e avaliando tendências e preferências dos pacientes que usam seus sites.
No entanto, o advogado Aurora descobriu que as ferramentas revelavam detalhes sobre as interações do site dos pacientes com fornecedores terceirizados, principalmente usuários “conectados simultaneamente em suas contas do Google ou Facebook e compartilharam sua identidade e outros hábitos de navegação com essas empresas”, explicaram os funcionários no Tempo.
A investigação também revelou que os pixels e tecnologias semelhantes usadas em seus sites também divulgavam certas informações protegidas de saúde para fornecedores específicos em “circunstâncias particulares”. Dada sua afiliação ao Advocate Aurora e o redirecionamento para o aviso de violação publicado anteriormente, os pacientes da BayCare Clinic provavelmente viram as mesmas divulgações.
O advogado Aurora desativou e/ou removeu pixels de suas plataformas depois de descobrir a divulgação não autorizada e atualmente está se defendendo de uma ação movida por um paciente movida na sequência de seu aviso de violação e vários relatórios que alegavam que a ferramenta Meta Pixel estava coletando dados hospitalares sem paciente consentimento.
Facebook, Novant Health e WakeMed também estão lutando contra processos semelhantes, movidos depois que os provedores emitiram avisos semelhantes aos pacientes.
Usuários do OmniPod da Insulet de exposição a terceiros
Usando linguagem semelhante às organizações de provedores afetadas pelo uso do Pixel, a Insulet informou recentemente a 29.000 usuários de dispositivos médicos Omnipod que seus dados foram expostos a “desempenho do site e parceiros de marketing” devido a uma configuração incorreta em sua verificação de recebimento de e-mail.
O aviso explica que os pacientes do Omnipod DASH receberam uma carta de correção de dispositivo médico, com um pedido de confirmação de recebimento de acompanhamento por e-mail. A configuração das páginas da web usadas para essa verificação “expôs algumas informações pessoais limitadas” sobre os pacientes a terceiros, por meio do uso de cookies e “outros rastreadores” incorporados no site da Omnipod.
A página de URL personalizada para cada usuário incluía seus endereços IP, se o indivíduo era um usuário do DASH e se o paciente tinha um Personal Diabetes Manager. Todas essas informações foram compartilhadas inadvertidamente com o desempenho do site da Insulet e com os parceiros de marketing.
Ao descobrir a configuração incorreta em 6 de dezembro, a Insulet desativou todos os códigos de rastreamento usados em seu site para evitar a exposição adicional de informações de saúde protegidas. A Insulet também solicitou que os parceiros que receberam essas informações excluíssem os logs dos endereços IP e URLs exclusivos para bloquear seu acesso a essas informações pessoais.
Hospital de Arkansas relata investigação em andamento sobre exfiltração de dados
O Howard Memorial Hospital, no Arkansas, começou recentemente a notificar um número não revelado de pacientes de que está investigando um evento de segurança de dados, depois que um agente de ameaça alegou ter roubado um tesouro de dados de sua rede em 4 de dezembro.
O HMH detectou atividades suspeitas em sua rede de computadores no início de dezembro, no momento em que os atores faziam suas alegações. A equipe de resposta trabalhou rapidamente para proteger sua rede e iniciou uma investigação com o apoio de uma empresa externa de segurança cibernética, enquanto “mantinha com segurança a funcionalidade operacional completa” para continuar tratando os pacientes.
A investigação está em andamento, mas o HMH confirmou que os criminosos realmente roubaram “certos arquivos” da rede entre 14 de novembro e 4 de dezembro.
Por enquanto, o HMH confirmou que os dados potencialmente roubados podem incluir nomes, detalhes de contato, SSNs, informações de seguro de saúde, números de registros médicos, históricos médicos, diagnósticos, tratamentos e nomes de provedores. Para funcionários, os dados podem incluir nomes, detalhes de contato, SSNs, datas de nascimento e informações de conta bancária de depósito direto.
A equipe de resposta ainda está revisando os “arquivos de risco para identificar os pacientes atuais e antigos e quaisquer funcionários atuais e antigos cujas informações possam ter sido afetadas por este evento”. O HMH pretende emitir um aviso de acompanhamento diretamente para os pacientes afetados, assim que confirmarem o impacto.
O aviso imediato permitirá que os pacientes respondam rapidamente a possíveis tentativas de identidade e fraude, ao mesmo tempo em que permite que o HMH cumpra o requisito de relatório de 60 dias descrito na Lei de Portabilidade e Responsabilidade do Seguro de Saúde.
O HMH está atualmente avaliando suas políticas e procedimentos existentes e pretende implementar salvaguardas administrativas e técnicas adicionais para evitar a reincidência.
Fonte: https://www.scmagazine.com/