El fiscal general James llega a un acuerdo con el proveedor de atención médica de Hudson Valley para invertir $1.2 millones para proteger los datos de los pacientes

El ataque de ransomware contra Refuah Health comprometió los datos de 250,000 neoyorquinos

NUEVA YORK — La fiscal general de Nueva York, Letitia James, anunció hoy un acuerdo con un proveedor de atención médica del área de Hudson Valley, Refuah Health Center, Inc. (Refuah), por no salvaguardar la información de salud personal y privada de sus pacientes. La Procuraduría General de la República (OAG) encontró que Refuah no mantuvo los controles adecuados para proteger y limitar el acceso a datos confidenciales, incluso al no cifrar la información del paciente y usar la autenticación multifactor. Como resultado de la mala seguridad de los datos de Refuah, el proveedor de atención médica experimentó un ataque de ransomware que comprometió la información personal y privada de aproximadamente 250,000 neoyorquinos. El acuerdo de hoy requiere que Refuah invierta 1.2 millones de dólares para fortalecer su ciberseguridad y pagar 450 mil dólares en sanciones y costos.  

“Los neoyorquinos deben recibir atención médica y confiar en que su información personal y de salud está segura”, dijo el Fiscal General James. “Este acuerdo garantizará que Refuah esté tomando las medidas adecuadas para proteger los datos de los pacientes y, al mismo tiempo, proporcionar atención médica asequible. La seguridad sólida de los datos es críticamente necesaria en la era digital actual y mi oficina continuará protegiendo los datos de los neoyorquinos de empresas con ciberseguridad inadecuada”.

Refuah es un proveedor de atención médica que opera tres instalaciones y cinco camionetas médicas móviles en el Valle de Hudson. En mayo de 2021, Refuah experimentó un ataque de ransomware donde el ciberatacante pudo acceder a los datos de miles de pacientes. Refuah determinó que los atacantes obtuvieron acceso a archivos que contienen nombres, direcciones, números de teléfono, números de seguro social, números de licencia de conducir, fechas de nacimiento, números de cuentas financieras, números de seguro médico y diversa información relacionada con la salud. La investigación de la OAG concluyó que los atacantes pudieron acceder a estos datos porque Refuah no había adoptado prácticas adecuadas de seguridad de datos para proteger la información personal y de salud de los pacientes. Refuah no pudo eliminar las cuentas de usuario inactivas, rotar las credenciales de las cuentas de usuario, restringir el acceso de los empleados a solo aquellos recursos y datos que eran necesarios para sus funciones comerciales, usar autenticación multifactor y cifrar la información del paciente.  

Como resultado del acuerdo de hoy, Refuah acordó invertir $1.2 millones para desarrollar y mantener programas de seguridad de la información más sólidos para proteger mejor los datos de los pacientes. El acuerdo también requiere que el proveedor de atención médica: 

  • Mantener un programa integral de seguridad de la información diseñado para proteger la seguridad, confidencialidad e integridad de la información del consumidor;  
  • Implementar y mantener políticas y procedimientos que limiten el acceso a la información del consumidor;  
  • Requerir el uso de autenticación multifactor para acceder remotamente a los recursos y datos; 
  • Rotar regularmente las credenciales que se utilizan para acceder a recursos y datos; 
  • Llevar a cabo auditorías al menos semestralmente para garantizar que los usuarios solo tengan acceso a los recursos y datos necesarios para sus funciones comerciales;  
  • Cifrar toda la información del consumidor, ya sea almacenada o transmitida;  
  • Implementar controles para monitorear y registrar toda la actividad operativa y de seguridad de las redes y sistemas de la compañía; y  
  • Desarrollar, implementar y mantener un plan integral de respuesta a incidentes.   

También se requiere que Refuah pague $450,000 en multas y costos al estado, de los cuales $100,000 serán suspendidos cuando la compañía gaste $1.2 millones para desarrollar y mantener su programa de seguridad de la información. 

El acuerdo de hoy continúa los esfuerzos del Fiscal General James para proteger la información personal de los neoyorquinos y responsabilizar a las empresas por sus malas prácticas de seguridad de datos. En diciembre, el fiscal general James aseguró 400,000 dólares de un proveedor de seguros dentales, Healthplex, Inc., por no salvaguardar la información privada de los consumidores. En noviembre, el fiscal general James aseguró 450.000 dólares de U.S. Radiology por no proteger los datos de los pacientes. En octubre, el fiscal general James aseguró $350,000 de la compañía de atención médica Personal Touch de Long Island por no asegurar los datos de 300,000 neoyorquinos. También en octubre, el fiscal general James y una coalición multiestatal aseguraron 49.5 millones de dólares de la empresa en la nube Blackbaud para una violación de datos en 2020 exponiendo los datos de miles de usuarios. En septiembre, el fiscal general James llegó a un acuerdo con Marymount Manhattan College para invertir 3.5 millones de dólares para proteger los datos en línea de los estudiantes. En mayo, el fiscal general James recuperó 550.000 dólares de una compañía de administración médica por no proteger los datos de los pacientes. En abril, el Fiscal General James publicó una guía integral de seguridad de datos para ayudar a las empresas a fortalecer sus prácticas de seguridad de datos.  

Este asunto fue manejado por el Abogado Superior de Cumplimiento Jordan Adler y el Jefe Adjunto de la Oficina Clark Russell de la Oficina de Internet y Tecnología, bajo la supervisión del Jefe de la Oficina Kim Berger. El Buró de Internet y Tecnología forma parte de la División de Justicia Económica, que está dirigida por el Fiscal General Adjunto Jefe Chris D'Angelo. La División de Justicia Económica es superviSada por la Primera Viceprocuradora General Jennifer Levy.