Dois hacks de fornecedores afetam quase 1,5 milhão e estão aumentando
Dois hacks de fornecedores afetam quase 1,5 milhão e estão aumentando.
Dois incidentes de hackers envolvendo fornecedores que fornecem serviços relacionados a TI e outros serviços para dezenas de clientes de entidades cobertas demonstram como a crescente dependência de terceiros também está aumentando o risco de dados de pacientes.
Um incidente envolve a Avamere Health Services LLC, uma empresa associada que fornece serviços de TI para entidades de saúde. A outra tem origem na OneTouchPoint, uma empresa que presta serviços de impressão e correio para seguradoras de saúde.
Cada um deles se junta a vários outros grandes hacks de dados de saúde relatados até agora este ano por fornecedores críticos que afetam uma lista crescente de seus clientes do setor de saúde e seus pacientes (consulte: At Half-Year Mark, Ransomware, Vendor Baches Dominate ).
“A tendência de terceiros serem comprometidos por registros de saúde que possuem em nome de entidades cobertas não diminuirá tão cedo e, de fato, parece estar aumentando”, diz Michael Hamilton, CISO da empresa de segurança Critical Insight.
Os incidentes do Avamere, Infinity e OneTouchPoint seguem uma contagem crescente de outros associados de negócios que relatam grandes incidentes de segurança de dados este ano.
Até agora, as duas maiores violações HIPAA publicadas no site do HHS OCR este ano envolvem fornecedores.
Isso inclui um incidente de exfiltração de dados relatado pelo provedor de serviços de imagem médica Shields Health Care Group que afetou 2 milhões de indivíduos. O chamado “muro da vergonha” do HHS também mostra dezenas de violações de 2022 que afetaram um total de quase 3 milhões de indivíduos relatados por clientes de entidades cobertas do fornecedor de registros de saúde eletrônicos baseados em nuvem Eye Care Leaders , que detectou um incidente de hacking no final do ano passado.
“A lição a ser aprendida com esses eventos é que os fornecedores com acesso aos registros [do paciente] estão sendo visados, e a linguagem jurídica entre parceiros de negócios e entidades cobertas deve reconhecer e acomodar esse fato”, diz Hamilton.
“Provavelmente estamos mudando essas relações que envolvem controles auditáveis e não apenas afirmações”, acrescenta. “A segurança de terceiros – especialmente no setor de saúde – ficou muito em foco como um ponto cego”.
Incidente offshore
O incidente de hacking do Avamere Health Services até agora resultou em duas violações de dados de saúde relacionadas, afetando quase 100 entidades cobertas e um total de quase 381.000 indivíduos relatados aos reguladores federais.
Violação do OneTouchPoint
Além do incidente Avamere/Infinity, a OneTouchPoint, com sede em Wisconsin, fornecedora de serviços de impressão e correspondência, está relatando um aparente incidente de ransomware que afeta mais de três dúzias de seus clientes de seguradoras de saúde – e quase 1,1 milhão de indivíduos, de acordo com uma violação relatório apresentado pela empresa ao procurador-geral do Maine em 27 de julho.*
Na segunda-feira, um relatório envolvendo o incidente OneTouchPoint ainda não apareceu no site HHS OCR HIPAA Breach Reporting Tool listando violações de dados de saúde que afetam 500 ou mais indivíduos. No entanto, uma vez que o incidente OneTouchPoint seja adicionado ao site HHS OCR, ele será classificado entre as maiores violações de dados de saúde relatadas até agora este ano aos reguladores federais.
Em um aviso publicado em seu site, o OneTouchPoint diz que em 28 de abril descobriu arquivos criptografados em determinados sistemas de computador.
O acesso não autorizado a certos servidores OTP começou em 27 de abril, diz o comunicado. A empresa diz que os sistemas afetados continham informações fornecidas por seus clientes de seguradoras de saúde, mas não consegue determinar definitivamente quais informações pessoais foram acessadas pelo agente não autorizado.
O escopo das informações potencialmente afetadas pelo incidente inclui nome, ID do membro e informações que podem ter sido fornecidas durante uma avaliação de saúde, diz OneTouchPoint.
A empresa em sua declaração de notificação lista 38 clientes de seguradoras de saúde afetados pelo incidente.
A OneTouchPoint não respondeu imediatamente à solicitação do ISMG para obter informações adicionais sobre o incidente.
Abordagem do risco de terceiros
O advogado regulador Paul Hales, do Hales Law Group, diz que as violações do Avamere e do Infinity aparentemente se originaram em um subcontratado não identificado do Avamere que fornece serviços de hospedagem.
“A HIPAA exige uma ‘cadeia de confiança’ documentada que vai das entidades cobertas aos parceiros de negócios, aos BAs subcontratados. Uma violação em qualquer elo fraco da cadeia pode causar uma violação”, diz ele. “As chances de uma violação aumentam à medida que a cadeia fica mais longa.”
Grandes BAs geralmente dependem de procedimentos genéricos de segurança de TI que atendem a alguns, mas não a todos os requisitos da HIPAA, resultando em complacência autoconfiante, diz ele. “Falhas comuns incluem análise de risco inadequada, gerenciamento de risco e avaliações regulares de segurança técnica e não técnica.”
A conformidade do parceiro de negócios HIPAA é o calcanhar de Aquiles do setor de saúde, diz ele. “Inicialmente, os parceiros de negócios não eram diretamente responsáveis pela conformidade com a HIPAA, então eles estão atrasados para o jogo”, acrescenta ele.
*Atualizado em 1º de agosto de 2022 21:18 UTC para refletir o número de indivíduos afetados pela violação do OneTouchPoint conforme relatado pela empresa ao procurador-geral do Maine.
