O procurador-geral do estado de Nova York anunciou na quarta-feira que uma empresa médica foi multada em US$ 450.000 por violação de dados resultante de um ataque de ransomware.
De acordo com o escritório da AG de Nova York, a US Radiology Specialists, um importante grupo privado de radiologia, foi alvo de um ataque de ransomware em dezembro de 2021. O incidente resultou no comprometimento de informações pessoais e de saúde de quase 200.000 pacientes, incluindo 92.000 nova-iorquinos.
As informações comprometidas incluíam nomes, datas de nascimento, números de carteira de motorista, números de passaporte, números de previdência social, identificações de pacientes, identificações de seguro saúde e informações sobre exames médicos e diagnósticos.
Uma investigação da violação da Radiologia dos EUA mostrou que os cibercriminosos entraram na rede da empresa após obter acesso a um dispositivo de segurança SonicWall usando credenciais válidas.
Embora não tenha sido possível confirmar, os invasores podem ter obtido as credenciais explorando uma vulnerabilidade do produto SonicWall que foi corrigida pelo fornecedor no início de fevereiro de 2021, depois de ter sido detectada sendo explorada em estado selvagem.
A vulnerabilidade, identificada como CVE-2021-20016, recebeu muita atenção na época, mas a NY AG disse que a US Radiology não conseguiu proteger seu sistema SonicWall. A empresa deveria substituir o hardware SonicWall desatualizado – no qual a vulnerabilidade não pôde ser corrigida – em julho de 2021, mas o processo foi adiado devido a “prioridades concorrentes e restrições de recursos”.
O NY AG disse que a US Radiology concordou em pagar a multa de US$ 450.000 por suas práticas inadequadas de segurança cibernética e por sua falha em proteger os dados dos pacientes.
Além da multa, a empresa de saúde prometeu aprimorar seu programa de segurança da informação, criar um programa para substituição ou atualização mais eficiente de ativos de TI, criptografar informações de pacientes, desenvolver um programa de testes de penetração e implementar políticas e procedimentos para exclusão permanente de dados de pacientes. isso não é mais necessário.
No ano passado, o procurador-geral de Nova Iorque multou várias organizações médicas e de outros tipos por violações de dados que afetaram um número significativo de indivíduos.