Ohio Medicaid relata vazamento de dados do provedor, outras violações de dados de saúde
Fonte: Getty Images
Por Jill McKeon
22 de junho de 2021 - Violações de dados e ataques de ransomware têm causado estragos no setor de saúde nos últimos meses. Nas mãos de pessoas mal-intencionadas, milhões de pacientes receberam avisos de seus provedores de saúde de que seus dados pessoais foram expostos.
A orientação recente do Instituto Nacional de Padrões e Tecnologia (NIST) visa ajudar os provedores de assistência médica a mitigar os riscos de segurança cibernética com seu rascunho do "Perfil de estrutura de segurança cibernética para gerenciamento de risco de ransomware". Apesar da quantidade crescente de orientação do governo, os ataques cibernéticos estão aumentando constantemente.
Um artigo recente do Wall Street Journal afirmou que Ryuk, uma organização de hackers do Leste Europeu, atacou pelo menos 235 estabelecimentos de saúde, ganhando simultaneamente mais de US$ 100 milhões e causando tempo de inatividade do EHR e atrasos no atendimento ao paciente.
Outras violações recentes de dados de saúde incluem a exposição de mais de 1 bilhão de registros de pesquisa do CVS Health e um ataque de ransomware em St. Joseph's/Candler na Geórgia, que levou a um tempo de inatividade significativo do EHR.
O Ohio Medicaid disse na segunda-feira que seu gerente de dados, Maximus, teve um incidente de segurança cibernética entre 17 e 19 de maio que pode ter exposto nomes, números de previdência social e endereços de provedores, de acordo com a agência de notícias local Dayton Daily News.
CONSULTE MAIS INFORMAÇÃO:Insight Global chama ex-funcionários para proteger a violação de dados PII
Um aplicativo contendo credenciais de Ohio Medicaid e dados de licenciamento foi acessado sem autorização por uma parte desconhecida. Os participantes do Medicaid não foram afetados pela violação e ela não afetou nenhum outro cliente ou servidor da Maximus. Não há indícios de que as informações tenham sido mal utilizadas, de acordo com o relatório.
A Maximus enviou cartas aos provedores afetados em 18 de junho. De acordo com o Dayton Daily News, a Maximus disse em um comunicado que "imediatamente colocou o aplicativo impactado offline, lançou uma investigação com uma empresa líder em segurança cibernética, protocolos de resposta ativados e aplicação da lei notificada".
“Como a atividade não autorizada foi detectada em um estágio muito inicial, a Maximus acredita que nossa resposta rápida limitou impactos potencialmente adversos”.
A Maximus, uma das maiores contratadas de serviços de dados de saúde do governo do mundo, afirmou que os provedores cujos dados podem ter sido expostos receberão dois anos de serviços de monitoramento de crédito.
Um ataque de ransomware CaptureRx relatado recentemente afetou pelo menos 17 organizações de saúde e contando com acesso não autorizado a arquivos em fevereiro. A empresa ajuda os hospitais a gerenciar seu programa de medicamentos 340B, permitindo que os pacientes obtenham prescrições a um custo menor. Os prontuários dos pacientes contendo datas de nascimento, nomes e informações de prescrição foram acessados.
CONSULTE MAIS INFORMAÇÃO:CVS Health enfrenta violação de dados, registros de pesquisa 1B expostos
Mais recentemente, a Catholic Health em Buffalo, Nova York, foi notificada de que pacientes dos hospitais Mount St. Mary's e Sisters of Charity foram afetados pela violação do CaptureRx. A Catholic Health afirmou que dados demográficos, informações de contas bancárias e números da Previdência Social não foram incluídos na violação, de acordo com a agência de notícias local WKBW.
"Nós nos esforçamos ao máximo para proteger a privacidade de nossos pacientes e qualquer informação relacionada ao tratamento deles", disse Kimberly Whistler, diretora corporativa de conformidade e privacidade da Catholic Health, ao WXBW.
"Todos os pacientes cujos nomes e informações foram afetados serão notificados na próxima semana pelo CaptureRx. Como a violação não incluiu nenhuma informação financeira, acreditamos que representa pouco risco para os pacientes, no entanto, como precaução, é sempre bom monitorar suas contas e informações de crédito e denuncie qualquer atividade suspeita ou suspeita de roubo de identidade às autoridades competentes."
A clínica de fertilidade da Geórgia, Reproductive Biology Associates, juntamente com a afiliada My Egg Bank North America, divulgou que aproximadamente 38.000 pacientes foram afetados por um ataque de ransomware em abril.