Nel febbraio 2024, Change Healthcare è stata vittima di un attacco ransomware che ha compromesso i dati personali, finanziari e sanitari di circa 100 milioni di americani. Questo attacco ha causato il più grande data breach mai registrato di informazioni sanitarie protette negli Stati Uniti. L'attacco ha avuto un impatto devastante sul sistema sanitario americano, provocando interruzioni significative per mesi, dato il ruolo cruciale di Change Healthcare nella gestione dei pagamenti e delle prescrizioni per migliaia di organizzazioni.

I dati rubati comprendono informazioni sanitarie come numeri di cartelle cliniche, diagnosi, farmaci e risultati di test, oltre a dati personali come numeri di previdenza sociale e documenti d'identità. Anche i dati di fatturazione e assicurativi sono stati compromessi, includendo informazioni su carte di pagamento e dettagli bancari.

Il gruppo di ransomware responsabile dell'attacco, noto come BlackCat o ALPHV, ha ricevuto un riscatto di 22 milioni di dollari da Change Healthcare in cambio della promessa di distruggere i dati rubati. Tuttavia, il pagamento del riscatto ha portato a ulteriori complicazioni quando un affiliato, che aveva fornito accesso a BlackCat, è stato defraudato della sua parte del riscatto. Questo ha portato al collasso dell'operazione di BlackCat e alla successiva vendita dei dati rubati da parte di un altro gruppo chiamato RansomHub.

La notifica della violazione da parte di Change Healthcare includeva un'offerta di monitoraggio del credito e servizi di protezione contro il furto d'identità per due anni. Gli utenti sono stati incoraggiati a proteggere i propri dati congelando i file di credito con le principali agenzie di credito come Equifax, Experian e TransUnion, una misura gratuita per impedire ai ladri di identità di creare nuovi conti a loro nome.

Preoccupazioni sulla sicurezza informatica

Questo evento ha sollevato preoccupazioni sulla sicurezza informatica nel settore sanitario, portando i senatori Mark Warner e Ron Wyden a proporre una legge per stabilire standard minimi di sicurezza informatica per i fornitori di servizi sanitari. La proposta mira anche a rimuovere il limite attuale sulle multe previste dalla legge HIPAA, che attualmente limita le sanzioni finanziarie che il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti può imporre ai fornitori di servizi.

Nonostante le misure di sicurezza richieste dalla legge HIPAA, come la crittografia dei dati, rimangono dubbi sull'efficacia delle attuali pratiche di sicurezza adottate dalle organizzazioni sanitarie. L'incidente ha messo in luce la vulnerabilità dei dati sensibili e la necessità di migliorare le strategie di protezione per prevenire future violazioni.