Einstein Healthcare Network anuncia incumplimiento de agosto - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Einstein Healthcare Network anuncia incumplimiento de agosto

Hola, ¿qué tal colega?. Te escribe Eduardo Arroyo y esta vez hablaremos sobre Einstein Healthcare Network anuncia incumplimiento de agosto

Einstein Healthcare Network anuncia incumplimiento de agosto

Einstein viola la regla de notificación de infracciones de 60 días del HHS, pero es poco probable que sea castigado.

Einstein Health Network, una empresa con sede en Pensilvania que opera centros de atención primaria, ambulatoria y de rehabilitación médica, anunció en violación del sistema de correo electrónico de sus empleados, que expuso la información personal y médica del paciente.

La empresa esperó más de cinco meses para hacer público el compromiso.

Einstein dijo que su sistema de correo electrónico fue comprometido por una «persona no autorizada» el 5 de agosto, según el comunicado, y persistió hasta el 17 de agosto. Einstein agregó que no ha podido averiguar si el contenido de los correos electrónicos relacionados con el paciente fue robado, pero está tomando medidas para alertar a los pacientes de que pueden haber obtenido todo, desde su nombre, fecha de nacimiento e incluso diagnósticos y recetas en exhibición. a los criminales.

Einstein dijo que ha estado al tanto de actividades sospechosas en las cuentas de correo electrónico de los empleados desde el 10 de agosto.

«Mientras esta revisión está en curso, hemos identificado correos electrónicos y / o archivos adjuntos en cuentas que contenían información del paciente, que pueden haber incluido nombres de pacientes, fechas de nacimiento, registros médicos o números de cuentas de pacientes y / o tratamientos o información clínica, como diagnóstico, medicamentos, proveedores, tipos de tratamiento o lugares de tratamiento «, dijo Einstein. «En algunos casos, las cuentas también incluían información sobre los números de seguro médico y / o seguro social de los pacientes».

Einstein señaló que la violación no afectó a todos los pacientes, sino solo a los contenidos en las cuentas de correo electrónico de los empleados.

La compañía ha abierto una línea de ayuda y ofrece un año de monitoreo de crédito para pacientes cuyos números de Seguro Social se han visto comprometidos.

Pero, ¿por qué la empresa esperó cinco meses después de la violación para informar a sus pacientes que sus datos más confidenciales estaban potencialmente en manos equivocadas? La declaración decía que «estamos enviando cartas», por lo que supuestamente los actores maliciosos tenían una ventaja significativa sobre cualquier posible esfuerzo de mitigación.

Threatpost se ha puesto en contacto con Einstein Healthcare Network en busca de comentarios, pero aún no ha recibido una respuesta.

La demora de cinco meses en reportar el ataque coloca a Einstein Health Network en una clara violación de la Regla de notificación de infracción de HIPPA para servicios de salud y humanos, que requiere que las personas sean notificadas «sin demoras injustificadas y en ningún caso más allá de los 60 días posteriores al descubrimiento de una infracción y debe incluir, en la medida de lo posible, una breve descripción de la infracción, una descripción de los tipos de información que han estado involucrados en la infracción , las medidas que los interesados ​​deben tomar para protegerse de posibles daños, una breve descripción de lo que está haciendo la entidad cubierta para investigar la violación, mitigar el daño y prevenir más violaciones, así como información de contacto de la entidad cubierta ( o socio comercial, según corresponda) «.

Si bien la violación es clara, Ben Pick, consultor senior de seguridad de aplicaciones en nVisium, dijo que las sanciones de Threatpost impuestas a la organización de atención médica probablemente sean leves.

«El resultado final contra la empresa solo puede ser sanciones menores, como monitoreo de crédito o servicios similares para los afectados», dijo Pick.

Pick explicó que la falta de una estricta aplicación de la seguridad sanitaria podría estar detrás de la decisión. El retraso de Einstein en informar.

“En cuanto a por qué Einstein Healthcare no notificó a sus usuarios finales dentro de un período de tiempo razonable, es probable que esta sea una decisión comercial que se eliminará más allá del momento del incidente. Sin sanciones más severas, no hay un incentivo fuerte para denunciar estas violaciones «, dijo.

La atención médica ha sido objeto de un creciente ataque de los ciberdelincuentes a medida que se ponen a prueba sistemas hospitalarios completos para combatir la pandemia.

Dirk Schraeder, vicepresidente global de New Net Technologies, está de acuerdo en que Einstein probablemente no recibirá más de una advertencia.

«Si el HHS está dando una conferencia a Einstein sobre el período de notificación de 60 días impuesto por HIPAA es una cosa», dijo Schraeder. «Lo más probable es que no se impongan multas drásticas».

.

Deberías compartir en tu Facebook para que tus amigos lo disfruten

??? ? ? ???

Comparte