Una práctica dental con sede en Indianápolis, Westend Dental, ha acordado pagar 350,000 $ tras una investigación estatal sobre un ataque de ransomware que expuso información sensible de los pacientes. El Fiscal General de Indiana, Todd Rokita, presentó una demanda contra la práctica, alegando un incumplimiento en la notificación oportuna de la violación y intentos de encubrir el incidente.
El ataque de ransomware, que ocurrió en octubre de 2020, comprometió un servidor en la ubicación Arlington de Westend Dental, afectando al menos a 450 pacientes. La investigación estatal se inició después de que un paciente presentara una queja sobre una solicitud de registros dentales no cumplida, lo que llevó al descubrimiento de la violación casi dos años después. Según las regulaciones de HIPAA, las organizaciones de salud deben notificar a las autoridades dentro de los 60 días posteriores al descubrimiento de tales violaciones.
La propietaria de Westend Dental, la Dra. Pooja Mandalia, y su esposo, el Dr. Deept Rana, designado como oficial de privacidad de HIPAA, no mantuvieron protocolos de seguridad adecuados. La demanda reveló que el servidor comprometido contenía información sensible de los pacientes, incluidos datos biométricos y registros de tratamiento, y que la práctica no tenía un sistema para rastrear el acceso a estos datos en el momento del incidente.
El acuerdo propuesto obliga a Westend Dental a cumplir con HIPAA y mejorar sus medidas de protección de datos, incluida la capacitación de empleados y la documentación de incidentes. Este caso destaca las vulnerabilidades dentro del sector de la salud, donde los ataques de ransomware son cada vez más comunes, con un 8 % de dichos ataques dirigidos a proveedores de atención médica, según el experto en ciberseguridad Errol Weiss.
Además de la violación por ransomware, la investigación descubrió múltiples divulgaciones inapropiadas de información protegida de salud a través de publicaciones en línea públicas y respuestas a reseñas de pacientes, lo que agravó aún más el escándalo.