Violación de datos médicos de Anthem

Violación de datos de Anthem Inc.

La violación de datos médicos de Anthem fue una violación de información en poder de Elevance Health , conocida en ese momento como Anthem Inc.

El 4 de febrero de 2015, Anthem, Inc. reveló que piratas informáticos criminales habían entrado en sus servidores y potencialmente habían robado más de 37,5 millones de registros que contienen información de identificación personal de sus servidores. ^[1] El 24 de febrero de 2015, Anthem aumentó el número a 78,8 millones de personas cuya información personal se había visto afectada. ^[2] Según Anthem, Inc., la violación de datos se extendió a múltiples marcas que Anthem, Inc. usa para comercializar sus planes de atención médica, incluidos Anthem Blue Cross, Anthem Blue Cross and Blue Shield, Blue Cross and Blue Shield of Georgia, Empire Blue Cross and Blue Shield, Amerigroup , Caremore y UniCare . ^[3] Healthlink dice que también fue víctima. ^[4] Anthem dice que la información médica y los datos financieros de los usuarios no se vieron comprometidos. Anthem ha ofrecido monitoreo de crédito gratuito a raíz de la violación. ^[5] Michael Daniel, asesor principal en ciberseguridad del presidente Barack Obama , dijo que cambiaría su propia contraseña. ^[6] Según The New York Times , alrededor de 80 millones de registros de empresas fueron pirateados y existe el temor de que los datos robados se utilicen para el robo de identidad . ^[7] La ​​información comprometida contenía nombres, cumpleaños, identificaciones médicas, números de seguro social , direcciones postales, direcciones de correo electrónico e información laboral, incluidos datos de ingresos. ^{[8] [9]}

Robo de datos

Los datos fueron robados durante un período de semanas el mes anterior a que se descubriera la violación de datos. ^[10]

Como no se vio comprometida ninguna información médica, Anthem no estaba obligada por ley a cifrar los datos. ^[11] Sin embargo, Anthem enfrentó varias demandas colectivas civiles , que se resolvieron en 2017 con un coste de 115 millones de dólares. Anthem no admitió ninguna irregularidad en el acuerdo. ^[12]

Se espera que los datos del ataque se vendan en el mercado negro . ^[13]

Impacto

Las personas cuyos datos fueron robados podrían tener problemas derivados de robo de identidad por el resto de sus vidas. ^[14] Anthem tenía una póliza de seguro de 100 millones de dólares para problemas cibernéticos de American International Group . ^[15] Un informe sugirió que todo este dinero podría consumirse en el proceso de notificar a los clientes sobre la violación. ^[15]

Respuestas

Anthem contrató a Mandiant , una empresa de ciberseguridad, para revisar sus sistemas de seguridad y aconsejó a las personas cuyos datos fueron robados que monitorearan sus cuentas y permanecieran alertas. ^{[16] [17]}

El robo de datos generó temores generales sobre el robo de información médica. ^{[18] [19]} Un escritor de la Facultad de Derecho de Harvard sugirió que esta filtración de datos podría provocar una reforma de las prácticas de seguridad y la regulación de la seguridad de los datos por parte del gobierno. ^[20]

Una investigación realizada por varios comisionados de seguros estatales culpa de la violación a un atacante cuya identidad fue retenida, y afirma que la violación probablemente fue ordenada por un gobierno extranjero cuyo nombre fue retenido. ^[21] También concluyó que Anthem había tomado medidas razonables para proteger sus datos antes de la violación y que su plan de remediación fue efectivo para cerrar la violación una vez que fue descubierta. ^[21] También marca la fecha de inicio de la violación como el 18 de febrero de 2014. ^[21] El investigador principal fue el Departamento de Seguros de Indiana (DOI), el principal regulador de Anthem, porque Anthem tiene su sede en Indiana. ^[22] El Departamento del Interior de Indiana contrató auditores independientes para realizar una evaluación de seguridad en Anthem, que concluyó: "Si bien el equipo de examen detectó deficiencias en la postura de ciberseguridad de Anthem, estas deficiencias no eran, según nuestra experiencia, poco comunes en empresas comparables a Anthem en tamaño y alcance. Si bien las deficiencias previas a la violación afectaron la capacidad de Anthem para reducir la probabilidad de una violación de datos y detectarla rápidamente, los controles implementados posteriormente a la violación de datos deberían mejorar la capacidad de Anthem para detectar futuras violaciones y permitirle responder de manera más eficaz a un ataque futuro que en este caso". ^[22]

Los reguladores federales también llevaron a cabo una investigación sobre la violación de datos de Anthem, que resultó en un acuerdo de 16 millones de dólares entre Anthem y el Departamento de Salud y Servicios Humanos (HHS), con diferencia el mayor acuerdo por violación de datos del HHS. ^[23] Un director del HHS que supervisó la investigación dijo: "La mayor violación de datos sanitarios de la historia de Estados Unidos merece plenamente el mayor acuerdo HIPAA de la historia. Desafortunadamente, Anthem no implementó las medidas adecuadas para detectar a los piratas informáticos que habían obtenido acceso a su sistema para recopilar contraseñas y robar la información privada de las personas". ^[23] El acuerdo con el HHS también exigía a Anthem que realizara una evaluación de riesgos y corrigiera cualquier deficiencia identificada en su ciberseguridad, con la supervisión del HHS del progreso de Anthem. ^[23]

Se presentaron aproximadamente 100 demandas colectivas privadas contra Anthem por la violación de datos y se consolidaron en un tribunal federal de California, frente al juez Koh, una autoridad respetada en litigios de violación de datos. ^[24] Después de una sesión informativa controvertida sobre quién debería liderar los esfuerzos del litigio, el juez Koh nombra a Eve Cervantez de Altshuler Berzon y Andy Friedman de Cohen Milstein como abogados principales adjuntos, y nombró a Eric Gibbs de Gibbs Law Group y Michael Sobel de Lieff Cabraser para dirigir un Comité Directivo de Demandantes. ^[25] En 2017, Anthem acordó resolver el litigio por $ 115 millones, el acuerdo de violación de datos más grande de la historia en ese momento. ^[26] Los abogados solicitaron $ 38 millones en honorarios por su trabajo en el caso, pero el juez Koh redujo la solicitud de honorarios, al considerar que solo se merecían $ 31 millones en honorarios. ^[27]

Referencias

1. Riley, Charles (4 de febrero de 2015). «El gigante de seguros Anthem se ve afectado por una filtración masiva de datos». CNN Money . Archivado desde el original el 19 de febrero de 2015. Consultado el 20 de febrero de 2015 .
2. Mathews, Anna (24 de febrero de 2015). «Anthem: Hacked Database Included 78.8 Million People» (Anthem: base de datos pirateada incluía a 78,8 millones de personas) . Wall Street Journal (Revista Wall Street) . ProQuest  1657641740. Archivado desde el original el 26 de julio de 2020. Consultado el 4 de mayo de 2020 .
3. "La filtración de datos en la aseguradora de salud Anthem podría afectar a millones de personas - Krebs on Security". KrebsOnSecurity . 5 de febrero de 2015. Archivado desde el original el 16 de mayo de 2021 . Consultado el 21 de febrero de 2015 .
4. "Página de inicio de Healthlink". healthlink.com . Centro de la página; ni siquiera la página de Anthem hace referencia a Healthlink. Archivado desde el original el 15 de febrero de 2015 . Consultado el 10 de febrero de 2015 .
5. Pepitone, Julianne (5 de febrero de 2015). "Anthem Hack: Credit Monitoring Won't Catch Medical Identity Theft". NBC News . Archivado desde el original el 5 de febrero de 2015. Consultado el 5 de febrero de 2015 .
6. Michael A Riley (5 de febrero de 2015). "Se sospecha que piratas informáticos patrocinados por el Estado chino están involucrados en el ataque a Anthem" . Bloomberg.com . Archivado desde el original el 25 de febrero de 2017. Consultado el 5 de marzo de 2017 .
7. Abelson, Reed; Goldstein, Matthew (5 de febrero de 2015). «El hackeo de Anthem apunta a una vulnerabilidad de seguridad en la industria de la atención médica» . The New York Times . Archivado desde el original el 7 de agosto de 2019 . Consultado el 1 de marzo de 2017 .
8. Weise, Elizabeth (5 de febrero de 2015). «Violación masiva de datos en la empresa de atención médica Anthem Inc.». USA Today . McLean, VA : Gannett . ISSN  0734-7456. Archivado desde el original el 21 de febrero de 2015 . Consultado el 20 de febrero de 2015 .
9. Mathews, Anna; Yadron, Danny (4 de febrero de 2015). "La aseguradora médica Anthem atacada por piratas informáticos - WSJ" . Wall Street Journal . ProQuest  1651251003. Archivado desde el original el 18 de febrero de 2015 . Consultado el 20 de febrero de 2015 .
10. Zetter, Kim (5 de febrero de 2015). «La aseguradora médica Anthem es atacada y expone los datos de millones de pacientes». Wired . Archivado desde el original el 21 de febrero de 2015. Consultado el 20 de febrero de 2015 .
11. Whitney, Lance (6 de febrero de 2015). "Los datos robados de los clientes de Anthem no están encriptados". CNET . Archivado desde el original el 13 de marzo de 2015. Consultado el 20 de marzo de 2015 .
12. Freeman, Liz (26 de junio de 2017). «Anthem resuelve una demanda por violación de seguridad que afecta a 80 millones de personas». USA Today . ProQuest  1913564990. Archivado desde el original el 1 de diciembre de 2017 . Consultado el 20 de noviembre de 2017 .
13. Murphy, Tom; Bailey, Brandon (6 de febrero de 2015). «Why hackers are targeting the medical sector» (Por qué los piratas informáticos atacan al sector médico). Boston Globe . Associated Press. Archivado desde el original el 22 de febrero de 2015. Consultado el 20 de febrero de 2015 .
14. Rudavsky, Shari (7 de febrero de 2015). "La filtración de datos de Anthem podría ser una 'batalla de por vida' para los clientes". IndyStar . Archivado desde el original el 13 de marzo de 2015. Consultado el 20 de febrero de 2015 .
15. Osborne, Charlie (12 de febrero de 2015). "El costo de la filtración de datos de Anthem probablemente superará la barrera de los 100 millones de dólares". ZDNet . Archivado desde el original el 15 de febrero de 2015. Consultado el 20 de febrero de 2015 .
16. Popken, Ben; Grant, Kelli (6 de febrero de 2015). "Incumplimiento del himno: ¿qué debo hacer ahora mismo?". NBC News . Archivado desde el original el 20 de febrero de 2015. Consultado el 20 de febrero de 2015 .
17. McNeal, Gregory S. (4 de febrero de 2015). "La aseguradora médica Anthem se ve afectada por una filtración masiva de datos". Forbes . Archivado desde el original el 7 de febrero de 2015. Consultado el 20 de febrero de 2015 .
18. Terhune, Chad (5 de febrero de 2015). «El hackeo de Anthem genera temores sobre los datos médicos». Los Angeles Times . Los Ángeles . ISSN  0458-3035. Archivado desde el original el 2 de marzo de 2015 . Consultado el 20 de febrero de 2015 .
19. Abelson, Reed; Creswellfeb, Julie (6 de febrero de 2015). «La filtración de datos en Anthem puede predecir una tendencia» . The New York Times . Nueva York . ISSN  0362-4331. Archivado desde el original el 9 de febrero de 2015 . Consultado el 20 de febrero de 2015 .
20. Terry, Nicholas (7 de febrero de 2015). "¿Es hora de revisar las violaciones de datos de atención médica?". Bill of Health . Petrie-Flom Center for Health Law Policy de la Facultad de Derecho de Harvard . Archivado desde el original el 16 de mayo de 2020 . Consultado el 20 de febrero de 2015 .
21. "Investigación de importante violación de seguridad de Anthem revela que una nación extranjera está detrás de la violación" (Comunicado de prensa). Sacramento, California : Departamento de Seguros de California . 2017-01-17. Archivado desde el original el 2017-02-17 . Consultado el 2017-02-16 .
22. "Conducta de mercado dirigida a múltiples estados y examen financiero de las compañías de seguros Anthem" (PDF) . Asociación Nacional de Comisionados de Seguros. Archivado (PDF) del original el 17 de febrero de 2019 . Consultado el 8 de febrero de 2019 .
23. Telchert, Erica (16 de octubre de 2018). "Anthem pagará 16 millones de dólares en un acuerdo récord por una filtración de datos". Modern Healthcare. Archivado desde el original el 23 de marzo de 2023. Consultado el 8 de febrero de 2019 .
24. Trade, Steven. "Las entidades de Blue Cross quieren salir del MDL de la violación de datos de Anthem". Law360. Archivado desde el original el 9 de febrero de 2019. Consultado el 8 de febrero de 2019 .
25. "Los abogados de los demandantes anuncian un acuerdo de demanda colectiva propuesto por 115 millones de dólares en el litigio por la violación de datos de Anthem". Market Watch . 2017-06-23. Archivado desde el original el 2019-02-09 . Consultado el 8 de febrero de 2019 .
26. Pierson, Brendan (23 de junio de 2017). «Anthem pagará una cifra récord de 115 millones de dólares para resolver demandas en Estados Unidos por violación de datos». Reuters . Archivado desde el original el 9 de febrero de 2019. Consultado el 8 de febrero de 2019 .
27. Andrews, Greg (20 de agosto de 2018). "El juez de Anthem que arregló la filtración de datos aprueba una enorme indemnización por honorarios, pero no tanto como querían los abogados". Indianapolis Business Journal. Archivado desde el original el 9 de febrero de 2019. Consultado el 8 de febrero de 2019 .

Enlaces externos

• AnthemFacts, el sitio web de Anthem para ayudar a sus clientes cuyos datos han sido vulnerados
• Litigios por violación de datos, acuerdo de demanda colectiva