오하이오 메디케이드, 제공자 데이터 유출 및 기타 건강 데이터 위반 보고
홈페이지홈페이지 > 블로그 > 오하이오 메디케이드, 제공자 데이터 유출 및 기타 건강 데이터 위반 보고

오하이오 메디케이드, 제공자 데이터 유출 및 기타 건강 데이터 위반 보고

May 18, 2023

출처: 게티 이미지

질 맥케온

2021년 6월 22일 - 최근 몇 달 동안 데이터 유출과 랜섬웨어 공격이 의료 부문에 큰 타격을 주고 있습니다. 악의적인 행위자의 손에 의해 수백만 명의 환자가 의료 서비스 제공자로부터 개인 데이터가 노출되었다는 통지를 받았습니다.

NIST(National Institute of Standards and Technology)의 최근 지침은 의료 서비스 제공자가 "랜섬웨어 위험 관리를 위한 사이버 보안 프레임워크 프로필" 초안을 통해 사이버 보안 위험을 완화하도록 돕는 것을 목표로 합니다. 정부의 지침이 늘어나고 있음에도 불구하고 사이버 공격은 꾸준히 증가하고 있습니다.

최근 Wall Street Journal 기사에 따르면 동유럽 해킹 조직인 Ryuk이 최소 235개 의료 시설을 공격하여 동시에 1억 달러 이상의 수익을 올렸고 EHR 가동 중단 시간과 환자 치료 지연을 초래했다고 밝혔습니다.

최근 발생한 다른 의료 데이터 유출 사건으로는 10억 개 이상의 CVS Health 검색 기록 노출, 심각한 EHR 가동 중지 시간을 초래한 조지아주 St. Joseph's/Candler에 대한 랜섬웨어 공격 등이 있습니다.

오하이오 메디케이드(Ohio Medicaid)는 데이터 관리자인 막시무스(Maximus)가 5월 17일에서 19일 사이에 사이버 보안 사고를 당하여 의료 제공자의 이름, 사회보장번호, 주소가 노출될 수 있다고 현지 뉴스 매체인 데이턴 데일리 뉴스(Dayton Daily News)에 밝혔습니다.

더 읽어보세요:PII 데이터 침해를 방지하기 위해 전직 직원에 대한 Insight 글로벌 요청

알 수 없는 당사자가 승인 없이 Ohio Medicaid 자격 증명 및 라이선스 데이터가 포함된 애플리케이션에 액세스했습니다. Medicaid 참가자는 위반으로 인해 영향을 받지 않았으며 다른 Maximus 고객이나 서버에도 영향을 미치지 않았습니다. 보고서에 따르면 정보가 오용되었다는 징후는 없습니다.

Maximus는 6월 18일에 영향을 받은 제공업체에 편지를 보냈습니다. Dayton Daily News에 따르면 Maximus는 성명을 통해 "영향을 받은 애플리케이션을 즉시 오프라인으로 전환하고 선도적인 사이버 보안 회사와 조사를 시작했으며 대응 프로토콜을 활성화하고 법 집행 기관에 통보했습니다"라고 밝혔습니다.

"무단 활동이 매우 초기 단계에서 감지되었기 때문에 Maximus는 우리의 빠른 대응이 잠재적으로 부정적인 영향을 제한했다고 믿습니다."

세계 최대의 정부 의료 데이터 서비스 계약업체 중 하나인 Maximus는 데이터가 노출되었을 수 있는 제공업체가 2년간 신용 모니터링 서비스를 받게 될 것이라고 밝혔습니다.

최근 보고된 CaptureRx 랜섬웨어 공격은 최소 17개 의료 기관에 영향을 미쳤으며 2월에는 무단 파일 액세스까지 포함되었습니다. 이 회사는 병원이 340B 약물 프로그램을 관리하도록 지원하여 환자가 더 저렴한 비용으로 처방전을 받을 수 있도록 합니다. 생년월일, 이름, 처방 정보가 포함된 환자 파일에 액세스했습니다.

더 읽어보세요:CVS Health, 데이터 침해에 직면해 10억 건의 검색 기록 노출

가장 최근에는 뉴욕주 버팔로에 있는 Catholic Health에 Mount St. Mary's 및 Sisters of Charity 병원의 환자들이 CaptureRx 침해로 인해 영향을 받았다는 통보를 받았습니다. 현지 뉴스 매체인 WKBW에 따르면 Catholic Health는 인구통계, 은행 계좌 정보, 사회보장번호가 이번 침해에 포함되지 않았다고 밝혔습니다.

Catholic Health의 기업 규정 준수 및 개인 정보 보호 책임자인 Kimberly Whistler는 WXBW에 "우리는 환자의 개인 정보와 치료와 관련된 모든 정보를 보호하기 위해 많은 노력을 기울이고 있습니다."라고 말했습니다.

"이름과 정보가 영향을 받은 모든 환자는 다음 주 CaptureRx에서 통보할 것입니다. 위반에는 금융 정보가 포함되지 않았기 때문에 환자에게 위험이 거의 없다고 생각합니다. 그러나 예방 조치로 항상 귀하의 계정을 모니터링하고 신용 정보를 확인하고 의심스러운 활동이나 신원 도용이 의심되는 경우 해당 기관에 신고하세요."

조지아 불임 클리닉 Reproductive Biology Associates는 계열사인 My Egg Bank North America와 함께 지난 4월 약 38,000명의 환자가 랜섬웨어 공격의 영향을 받았다고 밝혔습니다.