Los datos de 100 millones de estadounidenses fueron violados en los mayores ataques a la atención médica jamás realizados en EE. UU.
esta siendo llamado la mayor violación jamás realizada de la información médica protegida de los pacientes por una compañía médica regulada por el gobierno en la historia de Estados Unidos.
Change Healthcare, propiedad de UnitedHealth Group, fue víctima de un ciberataque hace ocho meses, pero reveló el jueves que 100 millones de personas se habían visto afectadas.
Esto superó el récord anterior de la peor violación de datos de pacientes de EE. UU.: un episodio de 2015 en Himno Inc. que comprometió a 78,8 millones de personas.
El primer informe oficial de Change Healthcare, que gestiona los ingresos y pagos de los proveedores médicos, estimó en julio que sólo 500 personas se habían visto comprometidas.
Ahora, el alcance del ataque de ransomware del 21 de febrero ha impulsado al Congreso a pedir que se levante el límite de la multa que se puede imponer a una empresa de atención médica negligente.
«La industria de la salud tiene algunas de las peores prácticas de ciberseguridad del país», dijo el senador Mark Warner, «a pesar de su importancia crítica para el bienestar y la privacidad de los estadounidenses».
Hoy en día, la legislación existente establece un límite máximo de $2 millones por infracción para los infractores de la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPPA).
Si se aprueban, estas «reformas de sentido común» también incluirían » penas de cárcel para los directores ejecutivos que mientan al gobierno sobre su ciberseguridad «, añadió Wyden.
Ocho meses después de que Change Healthcare fuera víctima de un ciberataque (dramatizado a través de la imagen de archivo de arriba), la compañía finalmente ha informado lo que los expertos de la industria llaman «una estimación más realista» del total de pacientes afectados: 100.000.000 de personas o uno de cada tres ciudadanos estadounidenses.
La empresa matriz de Change Healthcare atribuyó el ataque a una «nación extranjera» el invierno pasado.
Anthem recibió una multa de 16 millones de dólares, la mayor sanción impuesta por una violación de HIPAA, pero a los expertos les preocupa que esa multa apenas disuadiera a los gigantes de la atención médica de hoy.
Change Healthcare alertó a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos el 19 de julio, señalando que su investigación interna estaba en curso.
Observadores de la industria en la revista HIPAA señaló que la gran cifra redonda de 100 millones, publicada en la actualización de Change de este mes, sugiere que «es posible que esa cifra cambie».
«Ni Change Healthcare ni su empresa matriz, UnitedHealth Group (UHG), han confirmado que se haya completado la revisión del expediente», señaló la revista.
Pero estas cifras sorprendentes enmascaran la miríada de tragedias íntimas creadas por la ciberseguridad supuestamente laxa de Change Healthcare y UHG, que llevar a que millones de estadounidenses pierdan la privacidad de su atención médica.
Linda Barbour, directora médica de carrera de varias grandes empresas de seguros médicos, dijo a los periodistas que había asumido que la empresa se habría puesto en contacto con ella en el momento en que supo que sus datos habían sido expuestos.
Change no logró informar a Barbour hasta este mes.
Más allá del cambio en la atención sanitaria, el Departamento de Salud y Servicios Humanos informa que en 2024 se documentaron 394 violaciones de datos importantes, ya sea debido a piratería informática o errores de TI. Esas filtraciones de 2024 filtraron datos privados de más de 43 millones de personas, estima la oficina.
«En este momento, con este retraso, realmente no hay nada que pueda hacer porque ha pasado mucho tiempo», dijo Barbour. noticias estadísticas.
Según se informa, los funcionarios de la OCR en el Departamento de Salud y Servicios Humanos (HHS) han estado instando Congreso aumentar las penas máximas por violaciones de HIPAA, con la esperanza de que multas más graves puedan alentar a las empresas a tomar en serio la privacidad de los pacientes.
Y el Congreso parece estar escuchando: «Megacorporaciones como UnitedHealth están reprobando Ciberseguridad 101, y las familias estadounidenses están sufriendo como resultado», señaló Wyden en su llamado a leyes federales HIPPA más estrictas.
La nueva legislación actualizaría los Títulos XI y XVIII de la Ley de Seguridad Social, ampliando las sanciones por supervisión e incumplimiento para las empresas que no cumplan con los estándares de seguridad que protegen la información de salud.
Los proyectos de ley, denominados ‘Ley de Responsabilidad y Seguridad de la Infraestructura de Salud’, también exigirán estándares mínimos de ciberseguridad en todas las redes de atención médica de EE. UU.
Procesadores de pagos, corredores de datos privados y nombres importantes en tecnología Todos hemos informado de violaciones masivas de datos este año, incluidas Una filtración histórica de números de seguridad social de EE. UU. y un truco que extrajo datos 1,7 millones de tarjetas de crédito de consumo.
Pero las empresas de atención médica han sido únicas en su sensibilidad y estándares laxos.
El Portal de Violaciones de Derechos Civiles de la Oficina del HHS informa que en 2024 se documentaron 394 violaciones de datos importantes, ya sea debido a piratería informática o errores de TI. Esas filtraciones de 2024 filtraron datos de más de 43 millones de personas, estima la oficina.
El año pasado, se informaron 602 violaciones de datos como incidentes de piratería informática, que se estima que expusieron los registros de atención médica privados de al menos 151 millones de personas en todo el país.