El Centro de Salud Refuah en Spring Valley, Nueva York, financiado con fondos federales, ha sido multado por el fiscal general de dicho estado y deberá pagar 450.000 dólares (unos 411.000 euros). En principio tendrá que desembolsar 350.000 dólares y puede que se libre de un pago adicional de 100.000 dólares, siempre que el centro refuerce su programa de ciberseguridad.
Además, el ambulatorio se ha comprometido a gastar 1,2 millones de dólares (más o menos 1,1 millones de euros) entre los ejercicios fiscales 2024 y 2028 para desarrollar y mantener un programa mejorado de seguridad de la información.
También estará obligado a designar a un empleado calificado para que
se responsabilice de implementar, mantener y monitorizar dicho
programa.
Este acuerdo económico pone fin a una investigación
referente a un ataque de ransomware que ocurrió en mayo de 2021, según
se hace eco Bank Info Security.
Los atacantes fueron capaces de acceder a un sistema usado para ver vídeos tomados por las cámaras de seguridad. Este acceso estaba protegido por un código estático de cuatro dígitos.
Gracias al control de esta herramienta accedieron de forma remota a la red de Refuah utilizando credenciales de inicio de sesión para una cuenta administrativa que fueron robadas durante el ataque. El documento del acuerdo, recoge que las claves "no habían sido modificadas durante al menos 11 años".
Carencias y deficiencias
Los reguladores estatales iniciaron una investigación sobre la infracción, que incluyó cifrado, exfiltración y extorsión y que fue perpetrado por el grupo de ciberdelincuentes Lorenz.
Los piratas informáticos sustrajeron archivos pertenecientes a entre 195.000 y 234.000 pacientes.
Los reguladores hallaron que se habían dado múltiples violaciones de las de las reglas de privacidad, seguridad y notificación de infracciones de HIPAA, según los documentos del acuerdo.
Los fallos incluyeron no poder desmantelar cuentas de usuarios inactivos, falta de autenticación multifactor y falta de registro para revisar la actividad de los usuarios. Además, el centro no había realizado una evaluación de riesgos desde marzo de 2017. Así, cuando se produjo el ataque varios de estos problemas seguían coleando.
Para más inri, el ambulatorio tampoco había llevado a cabo una investigación adecuada para identificar a los pacientes cuya información había sido comprometida en la violación de datos.
Refuah, un centro de salud calificado a nivel federal, opera tres centros de atención médica en Nueva York y cinco ambulancias.
Lorenz Ransomware
Este grupo Lorenz también es conocido por vender los datos robados obtenidos antes del cifrado a otros actores para coaccionar a sus víctimas a pagar el rescate, así como por vender el acceso a las redes internas de sus víctimas junto con los datos robados.
Fuentes:
https://www.bankinfosecurity.com/nys-clinic-must-pay-450k-fine-spend-12m-on-security-a-24058
https://www.escudodigital.com/ciberseguridad/centro-salud-multa-ataque-ransomware_57694_102.html
No hay comentarios:
Publicar un comentario