Una filtració massiva de dades afecta Yale New Haven Health i exposa més de 5,5 milions d'històries clíniques de pacients
El Yale New Haven Health System (YNHHS), un important proveïdor d'atenció mèdica a Connecticut, està lluitant amb les conseqüències d'una violació de dades a gran escala que va exposar informació personal sensible de més de 5,5 milions de pacients. L'incompliment, revelat per YNHHS l'11 d'abril, segueix la detecció d'activitat sospitosa als seus sistemes informàtics el 8 de març.
Les investigacions inicials van revelar que els ciberdelinqüents havien accedit a la xarxa sanitària i havien extret les dades dels pacients el mateix dia que es va identificar la bretxa. Tot i que les operacions d'atenció al pacient no es van veure afectades, les dades robades han generat preocupacions importants sobre la privadesa del pacient i la seguretat de la informació.
Taula de continguts
Tipus d'informació compromesa
Segons YNHHS, l'incompliment va implicar una àmplia gamma de dades personals, tot i que les dades específiques compromeses variaven d'un pacient a un altre. La informació potencialment exposada inclou noms complets, dates de naixement, adreces de casa, números de telèfon, adreces de correu electrònic, identificadors racials o ètnics, números de la Seguretat Social i números d'expedient mèdic.
Malgrat la gravetat de l'incompliment, YNHHS va aclarir que el seu sistema de registre mèdic electrònic principal continuava sent segur. A més, no s'ha accedit a les dades del compte financer, la informació de pagament o els registres de recursos humans dels empleats durant l'atac.
Va ser un atac de ransomware?
Tot i que cap grup cibercriminal ha reivindicat públicament l'incident, les circumstàncies suggereixen la possibilitat d'un atac de ransomware. Si aquesta teoria és certa, YNHHS podria haver optat per pagar en silenci un rescat per evitar que les dades robades es filtrin o es venguin a la web fosca. Tanmateix, sense confirmació, la veritable naturalesa de l'atac segueix sent especulativa.
El Departament de Salut i Serveis Humans dels Estats Units (HHS) ha registrat l'incompliment al seu portal d'incompliment de dades de salut, classificant-lo com un dels més grans reportats fins ara el 2024.
Augment continu dels ciberatacs sanitaris
L'atac a Yale New Haven Health és l'últim d'una preocupant tendència d'intrusions cibernètiques dirigides al sector sanitari. L'HHS va informar que només el 2023, hi va haver més de 700 infraccions de dades sanitàries importants als Estats Units. En conjunt, aquests incidents van comprometre més de 180 milions de registres individuals, posant de manifest la creixent vulnerabilitat dels sistemes de salut davant les ciberamenaces.
Les organitzacions sanitàries continuen sent objectiu lucratiu per als ciberdelinqüents a causa de la gran quantitat de dades sensibles que emmagatzemen. Aquest incompliment posa de manifest la necessitat urgent de marcs de ciberseguretat sòlids, monitorització proactiva i protocols de resposta ràpida per salvaguardar les dades dels pacients.
Què haurien de fer els pacients ara
S'espera que YNHHS notifiqui les persones afectades i pot oferir serveis de control de crèdit o protecció contra robatori d'identitat. Es recomana als pacients afiliats a qualsevol instal·lació de Yale New Haven Health que estiguin vigilants supervisant els seus comptes financers i informes de crèdit, i tenint cura dels intents de pesca o missatges sospitosos.
Aquest incident serveix com a recordatori contundent que fins i tot les institucions sanitàries de confiança no són immunes a les infraccions de dades. A mesura que les amenaces evolucionen, les organitzacions han d'adaptar i reforçar contínuament les seves defenses de ciberseguretat per protegir la privadesa dels pacients i mantenir la confiança pública.