El Centro de Salud Refuah en Spring Valley, Nueva York, financiado con fondos federales, ha sido multado por el fiscal general de dicho estado y deberá pagar 450.000 dólares (unos 411.000 euros).
En principio tendrá que desembolsar 350.000 dólares y puede que se libre de un pago adicional de 100.000 dólares, siempre que el centro refuerce su programa de ciberseguridad.
Además, el ambulatorio se ha comprometido a gastar 1,2 millones de dólares (más o menos 1,1 millones de euros) entre los ejercicios fiscales 2024 y 2028 para desarrollar y mantener un programa mejorado de seguridad de la información.
También estará obligado a designar a un empleado calificado para que se responsabilice de implementar, mantener y monitorizar dicho programa.
Este acuerdo económico pone fin a una investigación referente a un ataque de ransomware que ocurrió en mayo de 2021, según se hace eco Bank Info Security.
Los atacantes fueron capaces de acceder a un sistema usado para ver vídeos tomados por las cámaras de seguridad. Este acceso estaba protegido por un código estático de cuatro dígitos.
Gracias al control de esta herramienta accedieron de forma remota a la red de Refuah utilizando credenciales de inicio de sesión para una cuenta administrativa que fueron robadas durante el ataque. El documento del acuerdo, recoge que las claves "no habían sido modificadas durante al menos 11 años".
Carencias y deficiencias
Los reguladores estatales iniciaron una investigación sobre la infracción, que incluyó cifrado, exfiltración y extorsión y que fue perpetrado por el grupo de ciberdelincuentes Lorenz.
Los piratas informáticos sustrajeron archivos pertenecientes a entre 195.000 y 234.000 pacientes.
Los reguladores hallaron que se habían dado múltiples violaciones de las de las reglas de privacidad, seguridad y notificación de infracciones de HIPAA, según los documentos del acuerdo.
Los fallos incluyeron no poder desmantelar cuentas de usuarios inactivos, falta de autenticación multifactor y falta de registro para revisar la actividad de los usuarios. Además, el centro no había realizado una evaluación de riesgos desde marzo de 2017. Así, cuando se produjo el ataque varios de estos problemas seguían coleando.
Para más inri, el ambulatorio tampoco había llevado a cabo una investigación adecuada para identificar a los pacientes cuya información había sido comprometida en la violación de datos.
Refuah, un centro de salud calificado a nivel federal, opera tres centros de atención médica en Nueva York y cinco ambulancias.