Point32Health, perusahaan asuransi kesehatan terbesar kedua di Massachusetts, mengungkapkan untuk pertama kalinya bahwa informasi pasien dicuri selama pelanggaran data yang melumpuhkan perusahaan selama berminggu-minggu.
Perusahaan induk Tufts Health Plan dan Harvard Pilgrim Health Care mengatakan Selasa bahwa penjahat dunia maya menyalin dan mengambil data dari sistem Harvard Pilgrim antara 28 Maret dan 17 April, dan mulai memberi tahu pelanggan bahwa informasi mereka mungkin telah disusupi.
Data yang dicuri dapat mencakup informasi pribadi dan kesehatan yang berpotensi dilindungi dari pelanggan saat ini dan sebelumnya serta tanggungan mereka, serta penyedia layanan saat ini, termasuk nama, alamat fisik, nomor telepon, tanggal lahir, informasi akun asuransi kesehatan, nomor Jaminan Sosial, dan NPWP penyedia layanan. Informasi klinis, seperti riwayat medis, diagnosis, pengobatan, riwayat layanan, dan nama penyedia, mungkin juga telah dikompromikan.
Seorang juru bicara perusahaan mengatakan proses investigasi dan peninjauan data sedang berlangsung, dan belum dapat dikatakan berapa banyak orang yang terkena dampaknya. Dia menolak untuk mengatakan berapa banyak anggota yang telah dia beri tahu, tetapi mengindikasikan bahwa dia telah memberi tahu penyelenggara tentang insiden tersebut. Setelah mengidentifikasi pelanggaran pada 17 April, perusahaan asuransi juga memberi tahu penegak hukum.
Menurut Harvard Pilgrim situs web, pelanggaran dapat memengaruhi anggota Harvard Pilgrim saat ini atau sebelumnya yang mendaftar antara 28 Maret 2012, dan saat ini, termasuk paket individu dan keluarga yang dibeli langsung dari Perusahaan, pertukaran, atau paket pemerintah terpilih melalui pemberi kerja, serta penyedia layanan saat ini dikontrak Dengan Harvard Pilgrim. Penanggung mengonfirmasi bahwa hal itu juga memengaruhi anggota baik pada produk yang diasuransikan penuh maupun yang diasuransikan sendiri.
“Harvard Pilgrim menangani insiden ini dengan sangat serius dan sangat menyesali ketidaknyamanan yang ditimbulkan oleh insiden ini,” kata perusahaan asuransi itu dalam sebuah pernyataan. “Pada titik ini, Peziarah Harvard tidak mengetahui adanya penyalahgunaan informasi pribadi dan informasi kesehatan yang dilindungi sebagai akibat dari insiden ini, namun tetap mulai memberi tahu individu yang berpotensi terkena dampak untuk memberi mereka informasi dan sumber daya lebih lanjut.”
Perusahaan mengatakan akan memberikan perlindungan identitas gratis dan akses ke layanan pemantauan kredit selama dua tahun untuk individu yang berpotensi terkena dampak situs web Bagi yang ingin mendaftar.
Di situs web Harvard Pilgrim, perusahaan asuransi juga mencatat bahwa konsumen dapat menempatkan “peringatan penipuan” awal atau lanjutan pada file kredit tanpa biaya, yang mengharuskan perusahaan mengambil langkah untuk memverifikasi identitas konsumen sebelum menawarkan kredit baru.
Dalam serangan ransomware, penjahat menembus jaringan komputer dan menyita informasi digital hingga korban membayar untuk membukanya. Pakar dunia maya mengatakan bahwa dalam jenis serangan ini, organisasi kriminal pertama-tama akan menambang data perusahaan dan kemudian mengenkripsi akses ke data dan jaringan. Beberapa kelompok meminta tebusan sebagai ganti kunci enkripsi. Jika organisasi bersedia memulihkan sistem melalui cadangan yang tidak rusak, kelompok kriminal dapat mengancam untuk menjual informasi tersebut kecuali mereka mendapatkan uang tebusan.
Beberapa perusahaan kriminal memiliki layanan back-office yang mengelabui orang agar membayar uang tebusan atau menjalankan kunci dekripsi. Orang jarang memulihkan data lengkapnya karena data rusak, atau kunci enkripsi tidak berfungsi.
Juru bicara perusahaan asuransi tidak mengungkapkan apakah uang tebusan dibayarkan atau tidak.
Pemadaman sebagian besar memengaruhi sistem yang melayani Harvard Pilgrim Business Plans dan New Hampshire Medicare Advantage Stride, dan tidak memengaruhi Tufts Health atau paket lainnya.
Perusahaan asuransi mengatakan di situs webnya bahwa mereka telah mengambil beberapa langkah untuk meningkatkan keamanan organisasi, termasuk meninjau dan memperkuat protokol akses pengguna, meningkatkan pemindaian kerentanan, menerapkan solusi keamanan baru untuk mendeteksi dan menanggapi ancaman dunia maya, dan melakukan pengaturan ulang kata sandi untuk administrator. akun.
Mendukung organisasi bergerak maju sangat penting. Arturo Perez Reyes Seorang broker asuransi dari Newfront mengatakan dia memiliki klien yang telah membeli pertanggungan Anda mendapatkan serangan ransomware berkali-kali dari penjahat dunia maya yang sama yang terus mengeksploitasi pintu belakang sistem.
Meskipun beberapa organisasi menjadi korban serangan yang ditargetkan, sebagian besar dimulai dengan phishing, yang menyebabkan karyawan mengklik tautan jahat atau menyamar sebagai orang resmi untuk mendapatkan akses ke data sistem.
Meski semakin sulit untuk dicegah, konsekuensi dari tidak menghentikan serangan siber bisa bertahan lama dan mahal. Perez-Reyes mencatat bahwa ransomware seringkali merupakan bagian yang paling murah dari cobaan, karena perusahaan menghadapi dampak keuangan dari pemadaman dan menghadapi tuntutan hukum atas pelanggaran privasi.
Implikasi finansial dari pelanggaran Point32 masih belum jelas, tetapi memang bersifat jangka panjang. Selama lebih dari sebulan, perusahaan telah berjuang untuk mendapatkan layanannya kembali online, dan masih belum sepenuhnya memulihkan situs web Harvard Pilgrim. Perusahaan asuransi tidak dapat memproses klaim atau permintaan untuk otorisasi sebelumnya. Beberapa anggota berjuang untuk mengakses informasi pembagian biaya dasar, dan yang lainnya mengatakan mereka tidak dapat menggunakan asuransi mereka sama sekali.
Perusahaan asuransi telah mengembangkan berbagai solusi, termasuk pengabaian permintaan otorisasi sebelumnya untuk rencana bisnis Harvard Pilgrim untuk layanan kesehatan medis dan perilaku.
Perusahaan asuransi telah memberi tahu dokter dan rumah sakit bahwa perawatan untuk klien Harvard Pilgrim akan ditanggung. Dan meskipun perusahaan asuransi tidak dapat menerima, memproses, atau membayar layanan kepada anggota bisnis Harvard Pilgrim, mereka telah menerapkan proses pembayaran sementara.
Mark McKenna, CFO dari Pediatric Associates of Greater Salem, mengatakan praktiknya biasanya mendapat $62.000 sebulan dari Harvard Pilgrim untuk layanan, dan harus merogoh koceknya untuk mengatasi keterlambatan pembayaran.
“Latihan kecil dan rutin tidak memiliki perlindungan atau ketersediaan itu,” kata McKenna. “Bahkan bagi kami, saya tidak suka mulai menggali cadangan, tapi itulah yang kami lakukan. Kami menggali cadangan kami untuk membayar gaji.”
Meski perusahaan asuransi menawarkan bridging payment, McKenna mengatakan permintaannya ditolak, karena perusahaan asuransi mensyaratkan formulir yang harus diserahkan oleh entitas kontraktor tempat penyedia itu berada. Dia mengatakan praktik McKenna terkait dengan Steward Health Care, yang belum mengajukan apa pun atas nama praktiknya.
Jessica Bartlett dapat dihubungi di [email protected]. Ikuti dia di Twitter @karyawan.
More Stories
JPMorgan memperkirakan The Fed akan menurunkan suku bunga acuannya sebesar 100 basis poin tahun ini
Foot Locker meninggalkan New York dan pindah ke St. Petersburg, Florida untuk mengurangi biaya tinggi: “efisiensi”
Nasdaq dan S&P 500 memimpin penurunan saham menjelang pendapatan Nvidia yang mengecewakan