Violación de datos en Atrium Health expone casi 3 millones de registros

La causa aparente es el hackeo sufrido por un proveedor externo

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética informan sobre un nuevo incidente de violación de datos masiva. Esta ocasión, la víctima es Atrium Health, proveedor de programas de salud y bienestar, antes conocido como Carolinas HealthCare Systems.

Después de que AccuDoc Solutions, uno de sus proveedores, fuera hackeado, Atrium Health anunció que cerca de 2.65 millones de expedientes de pacientes podrían haber sido comprometidos. Entre la información que podría encontrarse expuesta se incluye información sobre la póliza de seguro de los pacientes, número de expediente médico, facturas, dirección, fecha de nacimiento y número de seguro social.

“La gestión de riesgos de terceros no representa sólo un riesgo de seguridad, esta clase de incidentes cobra importancia debido al aumento en la gravedad y frecuencia con la que se presentan, impidiendo el crecimiento de las organizaciones que emplean este modelo de colaboración”, menciona George Wrenn, experto en ciberseguridad y forense digital.

“Cada una de las partes involucradas debe contar con la información necesaria para tomar medidas pertinentes. Las organizaciones deben contar con los mejores métodos de administración del riesgo que conlleva el manejo de altos volúmenes de datos”, agrega el experto.

Acorde al comunicado de prensa lanzado por AccuDoc y Atrium Health, ambas organizaciones contaban con medidas de seguridad pertinentes. Cuando AccuDoc descubrió el acceso no autorizado a sus sistemas, los directivos de la empresa ordenaron una investigación forense digital para “garantizar la protección de las bases de datos comprometidas y mejorar los controles de seguridad establecidos”. La empresa informó a Atrium Health sobre el incidente el 1 de octubre pasado.

La organización continúa monitoreando sus sistemas informáticos esperando detectar algún indicio de nuevas actividades anómalas. AccuDoc también menciona que hasta el momento no dispone de evidencias que confirmen que la información personal haya sido extraída de sus sistemas.

Por su parte, Atrium Health Atrium cuenta con su propio personal de investigación forense digital, quienes se encuentran realizando una revisión en sus sistemas de forma independiente a la investigación de AccuDoc; ambas organizaciones se encuentran en contacto con el FBI ante cualquier nuevo indicio de conducta maliciosa en sus sistemas.

“Justo cuando pensamos que la protección a los datos personales en el sector salud mostraba indicios de mejoría, llegó la violación de datos en Atrium Health, con lo que 2018 se ha consolidado como un año de récords en cuanto a incidentes de ciberseguridad”, menciona Pravin Kothari, especialista en seguridad informática.