Point32Health, der zweitgrößte Krankenversicherer in Massachusetts, gab zum ersten Mal bekannt, dass Patientendaten im Zuge einer Datenschutzverletzung gestohlen wurden, die das Unternehmen seit Wochen beeinträchtigt.
Die Muttergesellschaft von Tufts Health Plan und Harvard Pilgrim Health Care sagte am Dienstag, dass Cyberkriminelle zwischen dem 28. März und dem 17. April wahrscheinlich Daten aus den Systemen von Harvard Pilgrim kopiert und entwendet hätten und dass sie damit begonnen habe, Abonnenten darüber zu informieren, dass ihre Informationen möglicherweise kompromittiert worden seien.
Die gestohlenen Daten können persönliche Informationen und potenziell geschützte Gesundheitsinformationen von aktuellen und ehemaligen Abonnenten und Angehörigen sowie aktuellen Anbietern umfassen, einschließlich Namen, physische Adressen, Telefonnummern, Geburtsdaten, Informationen zum Krankenversicherungskonto, Sozialversicherungsnummern usw Steueridentifikationsnummern des Anbieters. Möglicherweise wurden auch klinische Informationen wie Krankengeschichte, Diagnosen, Behandlung, Leistungsdaten und Anbieternamen kompromittiert.
Ein Unternehmenssprecher sagte, der Untersuchungs- und Datenüberprüfungsprozess sei noch im Gange und man könne noch nicht sagen, wie viele Menschen betroffen seien. Es lehnte ab, anzugeben, wie viele Mitglieder es benachrichtigt hatte, stellte jedoch fest, dass es die Aufsichtsbehörden über den Vorfall informiert hatte. Nachdem der Versicherer den Verstoß am 17. April festgestellt hatte, hatte er auch die Strafverfolgungsbehörden benachrichtigt.
Laut Harvard Pilgrim’s Website kann der Verstoß aktuelle oder ehemalige Mitglieder von Harvard Pilgrim betreffen, die sich zwischen dem 28. März 2012 und heute eingeschrieben haben, einschließlich Einzel- und Familienplänen, die direkt vom Unternehmen erworben wurden, staatlichen Börsen oder Plänen, die über Arbeitgeber und Anbieter ausgewählt wurden ist derzeit bei Harvard Pilgrim unter Vertrag. Der Versicherer bestätigte, dass dies auch Auswirkungen auf die Mitglieder sowohl seiner vollversicherten als auch seiner selbstversicherten Produkte habe.
„Harvard Pilgrim nimmt diesen Vorfall äußerst ernst und bedauert zutiefst etwaige Unannehmlichkeiten, die dieser Vorfall verursachen könnte“, sagte der Versicherer in einer Pressemitteilung. „Zum jetzigen Zeitpunkt ist Harvard Pilgrim kein Missbrauch personenbezogener Daten und geschützter Gesundheitsinformationen infolge dieses Vorfalls bekannt, hat jedoch damit begonnen, potenziell betroffene Personen zu benachrichtigen, um ihnen weitere Informationen und Ressourcen zur Verfügung zu stellen.“
Das Unternehmen sagte, es werde potenziell betroffenen Personen kostenlosen Identitätsschutz und Zugang zu zwei Jahren Kreditüberwachungsdiensten anbieten und hat eine Website für diejenigen erstellt, die sich anmelden möchten.
Auf seiner Harvard Pilgrim-Website wies der Versicherer außerdem darauf hin, dass Verbraucher kostenlos eine erste oder erweiterte „Betrugswarnung“ in einer Kreditakte platzieren könnten, was von einem Unternehmen verlangt, Schritte zu unternehmen, um die Identität eines Verbrauchers zu überprüfen, bevor es einen neuen Kredit gewährt.
Bei Ransomware-Angriffen dringen Kriminelle in Computernetzwerke ein und sperren digitale Informationen, bis die Opfer für deren Freigabe bezahlen. Bei solchen Angriffen, so Cyber-Experten, stehlen kriminelle Organisationen zunächst die Daten eines Unternehmens und verschlüsseln dann den Zugriff auf die Daten und das Netzwerk. Einige Gruppen verlangen ein Lösegeld als Gegenleistung für den Verschlüsselungsschlüssel. Wenn Unternehmen bereit sind, Systeme durch unbeschädigte Backups wiederherzustellen, können kriminelle Gruppen damit drohen, die Informationen zu verkaufen, sofern sie kein Lösegeld erhalten.
Einige kriminelle Unternehmen verfügen über Service-Support-Desks, die Menschen bei der Zahlung von Lösegeldern oder der Implementierung des Entschlüsselungsschlüssels begleiten. Selten erhalten Benutzer ihre vollständigen Daten zurück, weil die Daten beschädigt sind oder der Verschlüsselungsschlüssel nicht funktioniert.
Sprecher des Versicherers gaben nicht bekannt, ob er das Lösegeld gezahlt hat oder nicht.
Der Ausfall betraf größtenteils Systeme, die die kommerziellen Pläne von Harvard Pilgrim und die New Hampshire Medicare Advantage Stride-Pläne bedienen, und hatte keine Auswirkungen auf Tufts Health oder andere Pläne.
Der Versicherer sagte auf seiner Website, dass er seitdem mehrere Schritte unternommen habe, um die Sicherheit des Unternehmens zu verbessern, darunter die Überprüfung und Verbesserung der Benutzerzugriffsprotokolle, die Verbesserung des Schwachstellen-Scans, die Implementierung einer neuen Sicherheitslösung zur Erkennung und Reaktion auf Cyber-Bedrohungen sowie die Durchführung von Passwort-Resets für Verwaltungszwecke Konten.
Es ist von entscheidender Bedeutung, die Organisation in Zukunft zu stärken. Arturo Perez-Reyes vom Versicherungsmakler Newfront sagte, er habe Kunden gehabt, die eine Versicherung abgeschlossen hätten werden mehrfach von denselben Cyberkriminellen mit Ransomware-Angriffen konfrontiert, die weiterhin Hintertüren zum System ausnutzen.
Obwohl einige Organisationen Opfer gezielter Angriffe werden, beginnen die meisten mit Phishing, bei dem Mitarbeiter dazu gebracht werden, auf einen schädlichen Link zu klicken oder sich auf andere Weise als offizielle Person auszugeben, um Zugriff auf die Daten eines Systems zu erhalten.
Auch wenn es immer schwieriger wird, einen Cyberangriff zu verhindern, können die Folgen, wenn ein Cyberangriff nicht gestoppt wird, langanhaltend und kostspielig sein. Perez-Reyes merkte an, dass das Lösegeld oft der kostengünstigste Teil der Tortur sei, da Unternehmen finanzielle Folgen durch Betriebsunterbrechungen erleiden und mit Klagen wegen Datenschutzverletzungen konfrontiert werden.
Die finanziellen Auswirkungen des Verstoßes bei Point32 sind noch unklar, aber sie sind bereits von langer Dauer. Seit mehr als einem Monat kämpft das Unternehmen darum, seine Dienste wieder online zu stellen, und hat die Website von Harvard Pilgrim immer noch nicht vollständig wiederhergestellt. Der Versicherer kann keine Ansprüche oder Anträge auf vorherige Genehmigung bearbeiten. Einige Mitglieder hatten Schwierigkeiten, an grundlegende Informationen zur Kostenbeteiligung zu gelangen, und andere gaben an, dass sie ihre Versicherung überhaupt nicht nutzen konnten.
Der Versicherer hat verschiedene Problemumgehungen eingeführt, darunter den Verzicht auf Anträge auf vorherige Genehmigung für kommerzielle Pläne von Harvard Pilgrim für medizinische und verhaltensbezogene Gesundheitsdienste.
Der Versicherer hat Ärzten und Krankenhäusern mitgeteilt, dass die Versorgung von Harvard Pilgrim-Kunden abgedeckt ist. Und obwohl der Versicherer die für kommerzielle Mitglieder von Harvard Pilgrim erbrachten Leistungen nicht entgegennehmen, verarbeiten oder bezahlen kann, hat er einen vorläufigen Zahlungsprozess eingeführt.
Mark McKenna, der Finanzvorstand von Pediatric Associates of Greater Salem, sagte, seine Praxis erhalte normalerweise 62.000 US-Dollar pro Monat von Harvard Pilgrim für Dienstleistungen und müsse auf ihre Rücklagen zurückgreifen, um die Zahlungsverzögerungen zu bewältigen.
„Eine normale kleine Praxis verfügt nicht über dieses Polster oder diese Verfügbarkeit“, sagte McKenna. „Selbst bei uns fange ich nicht gerne an, in Reserven zu graben, aber genau das tun wir. Wir greifen in unsere Rücklagen, um die Lohnsumme zu bezahlen.“
Obwohl der Versicherer Überbrückungszahlungen anbot, sagte McKenna, sein Antrag sei abgelehnt worden, da der Versicherer verlange, dass die Formulare von der Vertragspartei eingereicht werden, zu der ein Anbieter gehört. McKennas Praxis ist mit Steward Health Care verbunden, das bisher noch keine Klage im Namen seiner Praxen eingereicht hat, sagte er.
Jessica Bartlett ist unter [email protected] erreichbar. Folgen Sie ihr auf Twitter @ByJessBartlett.