Una bretxa de ciberseguretat a CareCloud, una empresa de tecnologia sanitària amb seu als EUA que dona suport a desenes de milers de proveïdors mèdics, està generant preocupacions que les dades personals i mèdiques de milions de pacients podrien estar en risc.
L'empresa va confirmar que es va detectar un accés no autoritzat el 16 de març dins d'un dels seus entorns d'historial clínic electrònic (HCE), part de la seva divisió CareCloud Health. La interrupció va durar diverses hores abans que els sistemes fossin restaurats, però les implicacions s'estenen molt més enllà del temps d'inactivitat temporal.
Què es va accedir i què roman desconegut
CareCloud va revelar l'incident en un document presentat a la Comissió de Borsa i Valors dels EUA, afirmant que un tercer va obtenir accés a un únic sistema que emmagatzema registres de pacients. Tot i que l'empresa diu que l'amenaça ha estat continguda, encara no ha determinat si es va accedir o exfiltrar alguna dada.
Aquesta incertesa és central. L'entorn afectat conté informació mèdica altament sensible, i l'empresa no ha proporcionat una estimació de quantes persones podrien ser finalment afectades.
Altres plataformes i sistemes, segons CareCloud, no es van veure afectats.
Una vasta xarxa amb exposició invisible
L'abast de CareCloud complica la situació. El programari de la companyia és utilitzat per més de 45.000 proveïdors de salut arreu dels Estats Units, incloent-hi clíniques, consultoris mèdics i sistemes hospitalaris.
Com que els pacients solen interactuar amb els proveïdors -no amb els proveïdors de programari de fons- molts potser no saben que les seves dades s'emmagatzemen dins de la infraestructura de CareCloud. Aquesta manca de visibilitat significa que els individus afectats podrien romandre sense ser conscients de qualsevol exposició potencial.
Els registres sanitaris es troben entre els objectius més valuosos en ciberatacs. A diferència de les dades financeres, que sovint es poden restablir o reemplaçar, la informació mèdica és permanent i estratificada, incloent-hi detalls d'identitat, dades d'assegurances i historial clínic.
Això ho fa especialment útil per al robatori d'identitat, la facturació fraudulenta i l'explotació a llarg termini.
L'incident també subratlla preocupacions més àmplies sobre la infraestructura de núvol centralitzada en l'atenció sanitària. Gran part del sistema de CareCloud funciona a Amazon Web Services, una plataforma àmpliament utilitzada que permet l'escalabilitat però també concentra dades sensibles en menys entorns.
Pressió legal i precaucions del pacient
Despatxos d'advocats ja han començat a revisar el cas per a possibles litigis, com és habitual en incidents de dades a gran escala que impliquen informació personal. Fins i tot sense un ús indegut confirmat, experts en ciberseguretat estan aconsellant als pacients que prenguin mesures de precaució, incloent-hi el seguiment de l'activitat financera, la revisió dels registres mèdics per detectar anomalies i la consideració d'alertes o bloquejos de crèdit.
CareCloud ha declarat que està treballant amb especialistes externs en ciberseguretat i les forces de l'ordre com a part d'una investigació forense en curs. L'empresa també va indicar que té una assegurança de ciberseguretat per cobrir possibles pèrdues.