Três grandes laboratórios de exames clínicos nos Estados Unidos tiveram os dados pessoais e financeiros de seus pacientes violados, em um ataque direcionado ao fornecedor AMCA (American Medical Collection Agency), responsável por realizar cobranças de pagamentos na área da saúde. Ao todo, estima-se que cerca de 20 milhões de registros tenham sido vazados no ataque, envolvendo pacientes destes três laboratórios:
- LabCorp = 7,7 milhões de registros
- Quest Diagnostics = 12 milhões de registros
- BioReference = 422 mil registros
De acordo com um comunicado da Securities and Exchange Commission (SEC), equivalente à nossa Comissão de Valores Mobiliários, o ataque ocorreu por meses, entre os dias 1º de agosto de 2018 e 30 de março de 2019. Algumas reportagens indicam que podem ter sido comprometidos dados como nome do paciente, data de nascimento, endereço, telefone, data de serviço, provedor, saldo, dados de cartões e contas de e-mails. Estes dados estavam disponíveis em um sistema inseguro utilizado pelos clientes para realização de pagamentos.
A AMCA também enviou uma declaração oficial sobre a violação de segurança:
Estamos investigando um incidente de dados envolvendo um usuário não autorizado acessando o sistema da American Medical Collection Agency. Ao receber informações de uma empresa de conformidade de segurança que trabalha com empresas de cartão de crédito sobre um possível comprometimento de segurança, realizamos uma revisão interna e, em seguida, retiramos nossa página de pagamentos da Web. Contratamos uma empresa forense externa terceirizada para investigar qualquer potencial violação de segurança em nossos sistemas, migramos nossos serviços de portal de pagamentos na Web para um fornecedor terceirizado e contratamos especialistas adicionais para aconselhar e implementar medidas para aumentar a segurança de nossos sistemas. . Também aconselhamos a aplicação da lei deste incidente. Continuamos comprometidos com a segurança do nosso sistema, a privacidade dos dados e a proteção das informações pessoais.
A AMCA é a “principal agência de recuperação para coleta de pacientes” e está “gerenciando mais de US $ 1 bilhão em recebíveis anuais para uma base diversificada de clientes”, atendendo “laboratórios, hospitais, grupos médicos, serviços de faturamento e fornecedores médicos. em todo o país, conforme descrito em seu próprio site.
Além de dados pessoais e financeiros, o receio é que os dados de prontuários médicos destes pacientes também possam ter sido afetados com o ataque, colocando em situação crítica todos estes laboratórios e seus clientes.
Este é um exemplo de como a troca de informações entre a empresa e seus fornecedores necessita de constantes checagens, auditorias que possam comprovar se o nível de proteção do parceiro está adequado aos requisitos de segurança do negócio. A norma ABNT NBR/IEC ISO 27002 prevê na seção 15 – Relacionamento na Cadeia de Suprimento, alguns controles para minimizar os riscos associados aos parceiros de negócio, que incluem entre outros aspectos, a monitoração dos serviços e treinamento das partes envolvidas.
A ABCTec possui uma área de Consultoria, especializada na análise de vulnerabilidades, testes de intrusão e programas de treinamento e conscientização de colaboradores. Maiores informações, clique AQUI:
Consultoria ABCTec
Tel: (11) 4393-2400
E-mail: contato@abctec.com.br
Fontes consultadas: Threat Post / Krebs on Security
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
