Point32Health, die Mutterorganisation von Harvard Pilgrim Health Care und anderen Versicherungsplänen, gab bekannt, dass bei einem Cyberverstoß zwischen dem 28. März und dem 17. April Daten aus den Systemen der Krankenkassen kopiert und entwendet wurden.
WARUM ES WICHTIG IST
HPHC, das Mitglieder in Massachusetts, New Hampshire, Maine und Connecticut hat, hat festgestellt, dass die kopierten Dateien möglicherweise persönlich identifizierbare Informationen und/oder geschützte Gesundheitsinformationen von aktuellen und ehemaligen Abonnenten und Angehörigen sowie Vertragsanbietern enthalten.
Laut einer Ankündigung dieser Woche umfassen die gestohlenen Daten Namen, Anschriften, Telefonnummern, Geburtsdaten, Informationen zu Krankenversicherungskonten, Sozialversicherungsnummern, Steueridentifikationsnummern von Anbietern und klinische Informationen.
HPHC wies in der Erklärung darauf hin, dass das PHI Krankengeschichte, Diagnosen, Behandlung, Leistungsdaten und Namen von Anbietern umfassen könnte.
Der Krankenversicherer sagte, er habe mit IDX, einem in Beaverton (Oregon) ansässigen Unternehmen, das auf Sicherheitsverletzungen reagiert, einen Vertrag abgeschlossen, um Anrufe von betroffenen HPHC-Mitgliedern und ehemaligen Mitgliedern zu tätigen, um festzustellen, ob ihre Daten möglicherweise betroffen waren, und um dann betroffene Personen für zwei Jahre wegen Identitätsdiebstahls anzumelden Überwachung und bis zu 1 Million US-Dollar Wiederbeschaffung bei Diebstahl.
Am Tag nach der Bestätigung, dass Patientendaten exfiltriert wurden, veröffentlichte HPHC außerdem ein Systemupdate zu Sicherheitsupdates auf seiner Website.
HPHC gibt an, Endpunktsicherheit zu implementieren, um die Reaktion auf Cyber-Bedrohungen zu verbessern, das Scannen von Schwachstellen zu verbessern und Verbesserungen der IT-Sicherheit zu identifizieren und zu priorisieren.
DER GRÖSSERE TREND
Nachdem Point32Health den unbefugten Zugriff zum ersten Mal entdeckt hatte, sagte es, es habe die HPHC-Systeme schnell offline geschaltet, um die Ransomware-Bedrohung einzudämmen, es sei jedoch bereits ein gewisser Schaden angerichtet worden.
Anfänglich wurden Unterbrechungen der Versorgung gemeldet, da Anbieter und Apotheken möglicherweise Bedenken hinsichtlich der abgedeckten Leistungen und Medikamente eines Mitglieds hatten und der Versicherer sich mitten in der offenen Einschreibung von Staatsbediensteten befand.
HPHC verzichtete mit einigen Ausnahmen, etwa bei Organtransplantationen, auf die vorherige Genehmigungspflicht und stellte auf seiner Website häufig gestellte Fragen (FAQs) bereit, in denen auf Auswirkungen auf den Betrieb, einschließlich elektronischer Zahlungen, hingewiesen wurde.
Der Versicherer sagte, er arbeite mit OptumRx an der Genehmigung von Rezepten für die Registrierung neuer Mitglieder, die zum Zeitpunkt des Systemausfalls in Bearbeitung waren.
HPHC meldete beim Bundesstaat Maine, dass 75.534 seiner Einwohner, die im Dezember 2022 krankenversichert waren, von dem Verstoß betroffen waren.
Was Dienstunterbrechungen betrifft, teilte HPHC mit Portland Press Herald per E-Mail am 24. Mai, dass es immer noch daran arbeite, seine Systeme wiederherzustellen.
Der Geschichte zufolge durchläuft das Unternehmen noch immer interne IT- und Geschäftsvalidierungen.
„Sobald dieser Prozess abgeschlossen ist, werden neben unseren gründlichen Sicherheitsüberprüfungen einige unserer Prozesse schrittweise verfügbar sein“, sagte Kathleen Makela, die Sprecherin des Unternehmens.
AUF DEM RECORD
„Zum jetzigen Zeitpunkt ist Harvard Pilgrim kein Missbrauch personenbezogener Daten und geschützter Gesundheitsinformationen infolge dieses Vorfalls bekannt, hat jedoch damit begonnen, potenziell betroffene Personen zu benachrichtigen, um ihnen weitere Informationen und Ressourcen zur Verfügung zu stellen.“
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: [email protected]
Healthcare IT News ist eine Publikation von HIMSS Media.
