A SuperCare Health enfrenta processo judicial por ter "medidas de segurança incompetentes" para impedir violação de dados.

O demandante entrou com uma ação judicial contra a SuperCare Health no Distrito Central da Califórnia, nos EUA, alegando que a empresa possui "Medidas de Segurança Incompetentes" para impedir violações de dados.

A SuperCare Health, com sede na Califórnia, enfrenta um processo judicial em decorrência da violação de dados ocorrida em julho de 2021. A SuperCare revelou recentemente que cerca de 318,379 registros de dados Os dados foram comprometidos, tornando-se uma das maiores violações de dados do Medicare relatadas em 2022.

Segundo a SuperCare Health, cibercriminosos acessaram o banco de dados da organização sem autorização entre 23 e 27 de julho. Os criminosos obtiveram acesso a informações de identificação pessoal (PII), incluindo nomes, informações de seguro saúde, endereço, números de prontuário médico, data de nascimento, números de conta do paciente, informações de sinistros, informações sobre tratamento do paciente e informações do grupo Medicare.

No entanto, em um processo judicial apresentado no Distrito Central da Califórnia, nos EUA, a autora Vickey Angulo alegou que a organização de saúde não impediu a violação de dados e não implementou medidas eficazes de proteção de segurança cibernética. “apesar de os ataques de violação de dados contra sistemas médicos e prestadores de serviços de saúde estarem em níveis recordes.” 

“Segundo informações disponíveis, o mecanismo do ataque cibernético e o potencial de divulgação indevida das Informações Privadas do Autor e dos Membros da Classe eram riscos conhecidos pelo Réu, conforme noticiado frequentemente e alertado pelo FBI ao setor de saúde. Portanto, o Réu tinha conhecimento de que a omissão em tomar as medidas necessárias para proteger as Informações Privadas desses riscos deixava a empresa em uma condição perigosa e vulnerável.” O documento afirmava.

No entanto, com o acesso às informações dos pacientes, o processo também incluiu a possibilidade de os cibercriminosos abrirem novas contas financeiras por meio de identidades sintéticas, usarem as informações dos membros da ação coletiva para obter benefícios governamentais e conseguirem carteiras de habilitação falsas em nome das vítimas.

O demandante também argumentou que a notificação de violação da SuperCare forneceu “poucos detalhes sobre a natureza, gravidade ou duração do ataque.”

A SuperCare descreveu o incidente como “atividade não autorizada” e afirmou que um terceiro desconhecido obteve acesso a determinados sistemas em sua rede. “Não conseguiu adaptar e treinar adequadamente seus funcionários, nem mesmo nos protocolos mais básicos de segurança da informação.”

Além disso, a autora da ação também observou que a empresa de saúde notificou as vítimas da violação de dados em março, meses após a ocorrência. A notificação da SuperCare explicava que sua investigação havia sido concluída em 4 de fevereiro de 2022. Adicionalmente, a empresa também foi acusada de violar as diretrizes da HIPAA e da Comissão Federal de Comércio (FTC) e de não cumprir os requisitos de segurança do NIST.

Sugestão de leitura: Organizações de saúde da África do Sul se tornam as mais recentes vítimas de cibercriminosos.