Nach dem Ransomware-Angriff gab der zweitgrößte Krankenversicherer des Bundesstaates bekannt, dass Patientendaten gestohlen worden seien

Point32Health, der zweitgrößte Krankenversicherer in Massachusetts, gab zum ersten Mal bekannt, dass Patientendaten bei einem Datenverstoß gestohlen wurden, der das Unternehmen wochenlang lahmgelegt hat.

Die Muttergesellschaft von Tufts Health Plan und Harvard Pilgrim Health Care teilte am Dienstag mit, dass Cyberkriminelle zwischen dem 28. März und dem 17. April Daten aus den Systemen von Harvard Pilgrim kopiert und entwendet hätten und dass sie begonnen habe, Abonnenten darüber zu informieren, dass ihre Informationen möglicherweise kompromittiert worden seien.

Zu den gestohlenen Daten können möglicherweise geschützte persönliche und gesundheitliche Informationen aktueller und ehemaliger Abonnenten und ihrer Angehörigen sowie aktueller Dienstanbieter gehören, darunter Namen, Anschriften, Telefonnummern, Geburtsdaten, Informationen zum Krankenversicherungskonto, Sozialversicherungsnummern usw Steueridentifikationsnummern des Dienstleisters. Möglicherweise wurden auch klinische Informationen wie Krankengeschichte, Diagnosen, Behandlung, Leistungshistorien und Namen von Anbietern kompromittiert.

Ein Unternehmenssprecher sagte, der Prozess der Untersuchung und Datenüberprüfung laufe noch und man könne noch nicht sagen, wie viele Menschen betroffen seien. Sie lehnte es ab, zu sagen, wie viele Mitglieder sie informiert hatte, gab jedoch an, dass sie die Organisatoren über den Vorfall informiert hatte. Nachdem die Versicherungsgesellschaft den Verstoß am 17. April festgestellt hatte, benachrichtigte sie auch die Strafverfolgungsbehörden.

Laut Harvard Pilgrim Website kann sich der Verstoß auf aktuelle oder ehemalige Mitglieder des Harvard Pilgrim auswirken, die sich zwischen dem 28. März 2012 und dem heutigen Zeitpunkt eingeschrieben haben, einschließlich Einzel- und Familientarifen, die direkt vom Unternehmen erworben wurden, über Börsen oder ausgewählte staatliche Tarife über Arbeitgeber sowie Derzeit vertraglich vereinbarte Dienstleister mit Harvard Pilgrim. Der Versicherer bestätigte, dass dies auch Mitglieder sowohl seiner vollversicherten als auch seiner selbstversicherten Produkte betrifft.

„Harvard Pilgrim nimmt diesen Vorfall sehr ernst und bedauert zutiefst alle Unannehmlichkeiten, die dieser Vorfall verursachen könnte“, heißt es in einer Erklärung der Versicherungsgesellschaft. „Der Harvard Pilgrim ist sich zum jetzigen Zeitpunkt keinem Missbrauch persönlicher Daten und geschützter Gesundheitsinformationen infolge dieses Vorfalls bewusst, hat jedoch damit begonnen, potenziell betroffene Personen zu benachrichtigen, um ihnen weitere Informationen und Ressourcen zur Verfügung zu stellen.“

Das Unternehmen sagte, es werde potenziell betroffenen Personen zwei Jahre lang kostenlosen Identitätsschutz und Zugang zu Kreditüberwachungsdiensten gewähren Webseite Für diejenigen, die sich anmelden möchten.

Auf der Website von Harvard Pilgrim weist die Versicherungsgesellschaft außerdem darauf hin, dass Verbraucher kostenlos eine erste oder erweiterte „Betrugswarnung“ in einer Kreditakte platzieren können, was bedeutet, dass das Unternehmen Maßnahmen ergreifen muss, um die Identität eines Verbrauchers zu überprüfen, bevor es einen neuen Kredit anbietet.

Bei Ransomware-Angriffen dringen Kriminelle in Computernetzwerke ein und beschlagnahmen digitale Informationen, bis die Opfer für die Freischaltung bezahlen. Cyber-Experten sagten, dass kriminelle Organisationen bei solchen Angriffen zunächst Unternehmensdaten ausspionieren und dann den Zugriff auf die Daten und das Netzwerk verschlüsseln. Einige Gruppen verlangen ein Lösegeld als Gegenleistung für den Verschlüsselungsschlüssel. Wenn Unternehmen bereit sind, Systeme durch unbeschädigte Backups wiederherzustellen, können kriminelle Gruppen damit drohen, die Informationen zu verkaufen, sofern sie kein Lösegeld erhalten.

Einige kriminelle Unternehmen verfügen über Backoffice-Dienste, die Menschen dazu verleiten, das Lösegeld zu zahlen oder einen Entschlüsselungsschlüssel auszuführen. Es kommt selten vor, dass Menschen ihre vollständigen Daten wiederherstellen, weil die Daten beschädigt sind oder der Verschlüsselungsschlüssel nicht funktioniert.

Sprecher der Versicherungsgesellschaft gaben nicht bekannt, ob das Lösegeld gezahlt wurde oder nicht.

Der Ausfall betraf größtenteils Systeme, die Harvard Pilgrim Business Plans und New Hampshire Medicare Advantage Stride bedienen, hatte jedoch keine Auswirkungen auf Tufts Health oder andere Pläne.

Die Versicherungsgesellschaft gab auf ihrer Website an, dass sie seitdem mehrere Schritte unternommen habe, um die Sicherheit des Unternehmens zu verbessern, darunter die Überprüfung und Stärkung der Benutzerzugriffsprotokolle, die Verbesserung des Schwachstellen-Scans, die Implementierung einer neuen Sicherheitslösung zur Erkennung und Reaktion auf Cyber-Bedrohungen sowie die Durchführung von Passwort-Resets Administratoren. Konten.

Es ist von entscheidender Bedeutung, die Organisation bei ihrer Weiterentwicklung zu unterstützen. Arturo Perez Reyes Ein Versicherungsmakler von Newfront sagte, er habe Kunden, die eine Versicherung abgeschlossen hätten Es kommt immer wieder zu Ransomware-Angriffen von denselben Cyberkriminellen, die immer wieder die Hintertüren des Systems ausnutzen.

Obwohl einige Organisationen Opfer gezielter Angriffe werden, beginnen die meisten mit Phishing, bei dem Mitarbeiter auf einen schädlichen Link klicken oder sich als offizielle Person ausgeben, um Zugriff auf Systemdaten zu erhalten.

Obwohl es immer schwieriger wird, einen Cyberangriff zu verhindern, können die Folgen, wenn ein Cyberangriff nicht gestoppt wird, langanhaltend und kostspielig sein. Perez-Reyes stellte fest, dass Ransomware oft der kostengünstigste Teil der Tortur sei, da Unternehmen mit finanziellen Auswirkungen von Ausfällen konfrontiert seien und mit Klagen wegen Datenschutzverletzungen konfrontiert seien.

Die finanziellen Auswirkungen des Point32-Verstoßes sind noch unklar, sie sind jedoch tatsächlich langfristiger Natur. Seit mehr als einem Monat kämpft das Unternehmen darum, seine Dienste wieder online zu stellen, und die Website von Harvard Pilgrim ist immer noch nicht vollständig wiederhergestellt. Die Versicherungsgesellschaft kann keine Ansprüche oder Anträge auf vorherige Genehmigung bearbeiten. Einige Mitglieder hatten Schwierigkeiten, an grundlegende Informationen zur Kostenbeteiligung zu gelangen, und andere gaben an, dass sie ihre Versicherung überhaupt nicht nutzen konnten.

Die Versicherungsgesellschaft hat eine Reihe von Lösungen entwickelt, darunter einen Verzicht auf vorherige Genehmigungsanfragen für die Geschäftspläne von Harvard Pilgrim für medizinische und verhaltensbezogene Gesundheitsdienste.

Die Versicherungsgesellschaft hat Ärzte und Krankenhäuser darüber informiert, dass die Betreuung von Harvard Pilgrim-Kunden abgedeckt ist. Und obwohl die Versicherungsgesellschaft keine Dienstleistungen für Harvard Pilgrim-Geschäftsmitglieder entgegennehmen, verarbeiten oder bezahlen kann, hat sie einen vorübergehenden Zahlungsprozess eingeführt.

Mark McKenna, CFO von Pediatric Associates of Greater Salem, sagte, dass seine Praxis normalerweise 62.000 US-Dollar pro Monat vom Harvard Pilgrim für Dienstleistungen erhält und auf seine Rücklagen zurückgreifen musste, um Zahlungsverzögerungen zu bewältigen.

„Eine kleine, reguläre Praxis verfügt nicht über diesen Schutz oder diese Verfügbarkeit“, sagte McKenna. „Selbst bei uns greife ich nicht gerne in die Rücklagen, aber das ist es, was wir tun. Wir greifen in unsere Rücklagen, um Gehälter zu zahlen.“

Obwohl die Versicherungsgesellschaft Überbrückungszahlungen anbot, sagte McKenna, sein Antrag sei abgelehnt worden, da die Versicherungsgesellschaft Formulare verlange, die von der Vertragspartei, zu der der Anbieter gehört, eingereicht werden müssen. Er sagte, McKennas Praxis sei mit Steward Health Care verbunden, das im Namen seiner Praxis noch keine Anträge eingereicht habe.

Jessica Bartlett ist unter [email protected] erreichbar. Folgen Sie ihr auf Twitter @Mitarbeiter.