El fiscal general de Nueva York multó a un centro de salud financiado con fondos federales que brinda servicios a comunidades vulnerables con hasta 450 mil dólares en un acuerdo que pone fin a una investigación sobre un ataque de ransomware ocurrido en 2021. El acuerdo también exige que el centro invierta más de un millón de dólares para mejorar la seguridad de sus datos.
El Centro de Salud Refuah, el que opera tres centros de atención médica en Nueva York y cinco camionetas médicas móviles, deberá pagar al menos 350 mil dólares y tiene la posibilidad que la fiscalía del estado suspenda otro pago de 100 mil dólares en caso de que se acoja a reforzar su programa de ciberseguridad, lo que, de no hacerlo, completaría la multa de 450 dólares originalmente establecida.
El acuerdo también exige a la entidad de salud al pago de 1,2 millones de dólares en un período de cuatro años (hasta 2028) para desarrollar y mantener un programa mejorado de seguridad de la información.
La multa es la consecuencia de una investigación iniciada tras un ciberataque de ransomware que afectó al centro el año 2021 perpetrado por el grupo de Lorenz. En la oportunidad, los ciberatacantes robaron archivos pertenecientes a aproximadamente entre 195 mil y 234 mil pacientes.
La investigación encontró múltiples violaciones de las reglas de privacidad, seguridad y notificación de infracciones de HIPAA (regulador de salud de los Estados Unidos).
Los fallos de seguridad encontrados por la entidad reguladora incluyeron no poder desmantelar cuentas de usuarios inactivos, falta de autenticación multifactor y falta de registro para revisar la actividad de los usuarios. La última vez que el centro había realizado una evaluación de riesgos antes del incidente ocurrió en marzo de 2017, y varios de los problemas identificados en ese momento no habían sido resueltos el día del ataque de ransomware, cuatro años después.
Además, tras el incidente, el centro médico falló al realizar una investigación adecuada para identificar a los pacientes cuya información se vio comprometida como consecuencia de la brecha de ciberseguridad.
Entre los acuerdos alcanzado, el centro Refuah deberá designar a un empleado calificado para que sea responsable de implementar, mantener y monitorear el programa de seguridad de la información. Esa persona debe informar como mínimo semestralmente al director ejecutivo, a la alta dirección y a la junta directiva de Refuah.
La investigación forense también determinó que el incidente de Refuah fue posible porque los atacantes habían obtenido acceso a un sistema utilizado para ver vídeos tomados por cámaras de seguridad. El acceso a este sistema estaba protegido por un código estático de cuatro dígitos. Con esa información, los atacantes pudieron acceder de forma remota a la red de la clínica, utilizando unas credenciales de inicio de sesión de administrador que fueron robadas con anterioridad.
La investigación concluyó que a pesar de que el proveedor de TI no había trabajado con Refuah desde 2014, la cuenta utilizada por el proveedor no había sido eliminada ni deshabilitada y no existía una autenticación multifactor habilitada para la cuenta.
Los atacantes obtuvieron acceso a una variedad de sistemas y datos de Refuah que contenían información de pacientes, incluidos miles de archivos no cifrados almacenados en un espacio de red compartido, correos electrónicos de empleados y una base de datos.
En el transcurso de dos días, los atacantes exfiltraron archivos y datos que contenían información de pacientes y archivos cifrados maliciosamente para fines de extorsión posteriores.
Refuah no pudo identificar los archivos que habían sido robados porque el centro de salud no contaba con sistemas para registrar esta actividad.