Point32Health, drugi co do wielkości ubezpieczyciel zdrowotny w Massachusetts, po raz pierwszy ujawnił, że dane pacjentów zostały skradzione podczas naruszenia danych, które sparaliżowało firmę od tygodni.
Firma macierzysta Tufts Health Plan i Harvard Pilgrim Health Care poinformowała we wtorek, że cyberprzestępcy skopiowali i zabrali dane z systemów Harvard Pilgrim między 28 marca a 17 kwietnia oraz że zaczęli powiadamiać subskrybentów, że ich informacje mogły zostać naruszone.
Skradzione dane mogą obejmować potencjalnie chronione dane osobowe i zdrowotne obecnych i byłych abonentów oraz osób pozostających na ich utrzymaniu, a także aktualnych usługodawców, w tym nazwiska, adresy, numery telefonów, daty urodzenia, informacje o koncie ubezpieczenia zdrowotnego, numery ubezpieczenia społecznego i numery identyfikacyjne podatnika usługodawcy. Informacje kliniczne, takie jak historia medyczna, diagnozy, leczenie, historia usług i nazwy usługodawców, również mogły zostać naruszone.
Rzecznik firmy powiedział, że proces dochodzenia i przeglądu danych trwa i nie można jeszcze powiedzieć, ile osób zostało dotkniętych. Odmówiła podania liczby członków, których poinformowała, ale zaznaczyła, że poinformowała organizatorów o incydencie. Po wykryciu naruszenia 17 kwietnia ubezpieczyciel zawiadomił również organy ścigania.
Według Pilgrima z Harvardu stronie internetowej, naruszenie może dotyczyć obecnych lub byłych członków Harvard Pilgrim, którzy zarejestrowali się między 28 marca 2012 r. a obecnym czasem, w tym planów indywidualnych i rodzinnych zakupionych bezpośrednio od Spółki, giełd lub wybranych planów rządowych za pośrednictwem pracodawców, jak również obecnie zakontraktowani usługodawcy z Harvard Pilgrim. Ubezpieczyciel potwierdził, że dotyczy to również członków zarówno w przypadku produktów z pełnym ubezpieczeniem, jak i samoubezpieczenia.
„Harvard Pilgrim traktuje ten incydent bardzo poważnie i głęboko ubolewa nad wszelkimi niedogodnościami, jakie może on spowodować” – napisała firma ubezpieczeniowa w oświadczeniu. „W tym momencie Harvard Pilgrim nie jest świadomy żadnego niewłaściwego wykorzystania danych osobowych i chronionych informacji zdrowotnych w wyniku tego incydentu, ale mimo to zaczął powiadamiać osoby potencjalnie dotknięte chorobą, aby zapewnić im dalsze informacje i zasoby”.
Firma powiedziała, że zapewni bezpłatną ochronę tożsamości i dostęp do usług monitorowania kredytu przez dwa lata osobom potencjalnie dotkniętym strona internetowa Dla chcących się zarejestrować.
Na stronie internetowej Harvard Pilgrim firma ubezpieczeniowa zauważa również, że konsumenci mogą bezpłatnie umieścić wstępne lub rozszerzone ostrzeżenie o oszustwie w pliku kredytowym, co wymaga od firmy podjęcia kroków w celu zweryfikowania tożsamości konsumenta przed zaoferowaniem nowego kredytu.
W atakach ransomware przestępcy włamują się do sieci komputerowych i przechwytują informacje cyfrowe, dopóki ofiary nie zapłacą za ich odblokowanie. Cybereksperci powiedzieli, że w tego typu atakach organizacje przestępcze najpierw wydobywają dane firmowe, a następnie szyfrują dostęp do danych i sieci. Niektóre grupy żądają okupu w zamian za klucz szyfrujący. Jeśli organizacje chcą przywrócić systemy za pomocą nieuszkodzonych kopii zapasowych, grupy przestępcze mogą zagrozić sprzedażą informacji, chyba że otrzymają okup.
Niektóre przedsiębiorstwa przestępcze mają usługi zaplecza, które nakłaniają ludzi do zapłacenia okupu lub wykonania klucza odszyfrowującego. Ludzie rzadko odzyskują pełne dane, ponieważ dane są uszkodzone lub klucz szyfrowania nie działa.
Rzecznicy firmy ubezpieczeniowej nie ujawnili, czy okup został zapłacony.
Awaria w dużej mierze wpłynęła na systemy obsługujące plany biznesowe Harvard Pilgrim i New Hampshire Medicare Advantage Stride i nie wpłynęła na Tufts Health ani inne plany.
Firma ubezpieczeniowa poinformowała na swojej stronie internetowej, że od tego czasu podjęła kilka kroków w celu zwiększenia bezpieczeństwa organizacji, w tym przegląd i wzmocnienie protokołów dostępu użytkowników, usprawnienie skanowania pod kątem luk w zabezpieczeniach, wdrożenie nowego rozwiązania bezpieczeństwa w celu wykrywania cyberzagrożeń i reagowania na nie oraz resetowanie haseł do administratorzy. konta.
Wspieranie rozwoju organizacji ma kluczowe znaczenie. Arturo Pereza Reyesa Broker ubezpieczeniowy z Newfront powiedział, że ma klientów, którzy wykupili ubezpieczenie Wielokrotnie otrzymujesz ataki ransomware od tych samych cyberprzestępców, którzy wciąż wykorzystują tylne drzwi systemu.
Chociaż niektóre organizacje padają ofiarą ataków ukierunkowanych, większość rozpoczyna się od phishingu, który powoduje, że pracownicy klikają złośliwy link lub podszywają się pod urzędnika, aby uzyskać dostęp do danych systemowych.
Chociaż coraz trudniej jest temu zapobiec, konsekwencje niezatrzymania cyberataku mogą być długotrwałe i kosztowne. Perez-Reyes zauważył, że oprogramowanie ransomware jest często najtańszą częścią gehenny, ponieważ firmy borykają się z konsekwencjami finansowymi z powodu przestojów i procesów sądowych w związku z naruszeniami prywatności.
Konsekwencje finansowe naruszenia Point32 są nadal niejasne, ale rzeczywiście są długoterminowe. Przez ponad miesiąc firma walczyła o przywrócenie swoich usług online i nadal nie przywróciła w pełni strony internetowej Harvard Pilgrim. Firma ubezpieczeniowa nie może rozpatrywać roszczeń ani wniosków o uprzednią zgodę. Niektórzy członkowie mieli trudności z uzyskaniem dostępu do podstawowych informacji o podziale kosztów, a inni twierdzą, że w ogóle nie byli w stanie skorzystać z ubezpieczenia.
Firma ubezpieczeniowa opracowała różne rozwiązania, w tym rezygnację z wniosków o uprzednią zgodę na biznesplany Harvard Pilgrim dotyczące usług medycznych i behawioralnych.
Firma ubezpieczeniowa poinformowała lekarzy i szpitale, że opieka nad klientami Harvard Pilgrim zostanie pokryta. I chociaż firma ubezpieczeniowa nie może otrzymywać, przetwarzać ani płacić za usługi członkom biznesowym Harvard Pilgrim, wdrożyła tymczasowy proces płatności.
Mark McKenna, dyrektor finansowy Pediatric Associates of Greater Salem, powiedział, że jego praktyka zazwyczaj otrzymuje 62 000 dolarów miesięcznie od Harvard Pilgrim za usługi i musiał sięgnąć do swoich rezerw, aby poradzić sobie z opóźnieniami w płatnościach.
„Mała, regularna praktyka nie ma takiej ochrony ani dostępności” – powiedział McKenna. „Nawet jeśli chodzi o nas, nie lubię zaczynać kopać w rezerwach, ale to właśnie robimy. Kopiemy w naszych rezerwach, aby wypłacić pensje.”
Chociaż firma ubezpieczeniowa oferowała płatności pomostowe, McKenna powiedział, że jego prośba została odrzucona, ponieważ firma ubezpieczeniowa wymaga formularzy, które musi złożyć podmiot zamawiający, do którego należy dostawca. Powiedział, że praktyka McKenny jest powiązana ze Steward Health Care, która jeszcze nie złożyła niczego w imieniu swojej praktyki.
Z Jessicą Bartlett można się skontaktować pod adresem jessica.bartlett@globe.com. Śledź ją na Twitterze @pracownik.