Empresa de serviços de tecnologia voltada a saúde é atacada por cybercriminosos

Um provedor de serviços administrativos e de tecnologia para organizações de assistência médica com sede em Oklahoma está notificando mais de 271.000 indivíduos de que suas informações pessoais podem ter sido comprometidas em um incidente de hacking envolvendo um fornecedor terceirizado de armazenamento de dados.

A violação é a mais recente de uma longa e crescente lista de grandes incidentes de segurança de dados de saúde relatados aos reguladores em 2022 envolvendo fornecedores e, às vezes, relacionamentos muito complicados com terceiros.

A Avem Health Partners – ela mesma uma fornecedora terceirizada de serviços de TI para entidades de saúde – em um relatório de violação arquivado em 13 de dezembro no escritório do procurador-geral do estado do Maine – diz que as informações do paciente armazenadas nos servidores de um de seus fornecedores estavam sujeitas a acesso não autorizado em um incidente de hacking externo em maio.

A Avem, em uma declaração de notificação de violação publicada em seu site, diz que “foi notificada sobre um incidente de segurança de dados experimentado pela 365 Data Centers, um fornecedor de armazenamento de dados usado por um provedor de serviços terceirizado contratado pela Avem”.

Um porta-voz da 365 Data Centers com sede em Norwalk, Connecticut, disse ao Information Security Media Group que a Avem não é um cliente direto.

“Tem a atenção deles, mas [365] está tentando descobrir quem é o cliente direto, já que pode ser um dos clientes de seus parceiros de hospedagem”, diz ele.

A Avem não respondeu imediatamente ao pedido do ISMG por detalhes adicionais e esclarecimentos sobre a violação, incluindo quantos clientes da entidade de saúde da Avem foram afetados.

Os arquivos Avem afetados continham informações do paciente, incluindo nomes, datas de nascimento, números de CPF, números de carteira de motorista, informações de seguro de saúde e informações de diagnóstico e tratamento.

A Avem está oferecendo aos indivíduos afetados um ano de monitoramento gratuito de identidade e crédito. A empresa também diz que está examinando seus relacionamentos com fornecedores e avaliando as medidas de segurança dos fornecedores.

Relacionamentos Complicados

Departamento de Saúde e Serviços Humanos dos EUA, Na terça-feira, o incidente do Avem ainda não havia aparecido no site da ferramenta HIPAA Breach Reporting Tool listando violações de dados de saúde afetando 500 ou mais indivíduos.

Parceiros de negócios estiveram no centro de quase 40% das violações relatadas neste ano, até agora.

“Pode ser prudente reconsiderar como as entidades regulamentadas estão enquadrando suas proteções contratuais e exposição em relação aos fornecedores”, diz o advogado regulatório Brad Rostolsky, do escritório de advocacia Reed Smith.

“Mais atenção precisará ser dada às provisões de indenização de acordos de associação comercial, e eu suspeito que haverá ou deveria haver um esforço maior para empregar questionários de segurança de fornecedores e auditorias de fornecedores.”

Vários temas comuns surgiram em muitas das principais violações de fornecedores relatadas em 2022, diz a advogada regulatória Rachel Rose.

Entre eles está a importância de as entidades obterem garantia razoável por meio de due diligence de que um parceiro de negócios possui proteções técnicas, administrativas e físicas adequadas, diz ela.

Isso inclui durante uma fusão e aquisição. “Não realizar a devida diligência adequada [pode] potencialmente levar a uma violação e custos financeiros e de reputação associados”, diz ela.

Olhando para o Ano Novo, os ataques de ransomware e phishing continuarão a representar áreas críticas de exposição ao setor de saúde, prevê Rostolsky.

“Eu não ficaria surpreso se começarmos a ver mais processos comerciais movidos por entidades cobertas contra fornecedores que não instituíram um programa de segurança adequado”, diz ele. “Também pude ver um esforço para incluir termos expressos em contratos de grandes fornecedores que permitem mais facilmente uma quebra de reivindicação de contrato por falha na implementação de certas proteções de segurança”.