Centric Health, entidad de atención médica con sede en Dublín, deberá pagar 460.000 euros de sanción por violar el RGPD (Reglamento General de Protección de Datos).
Las autoridades irlandesas han multado a esta compañía sanitaria en relación a su ataque de ransomware sufrido hace cuatro años.
Este incidente comprometió información confidencial de 70.000 pacientes de Centric e implicó también la eliminación permanente de datos de unas 2.500 personas, según recoge un informe de la Comisión de Protección de Datos de Irlanda de enero.
La compañía detectó el ataque de ransomware el 3 de diciembre de 2019 e informó a las autoridades pertinentes dos días después. Este involucró el cifrado de datos de pacientes.
El ciberataque afectó a siete clínicas en total, incluyendo prácticas de médicos generalistas de Primacare Health Professionals, subsidiaria de Centric que había sido adquirida en 2016.
Los datos afectados incluyeron nombres, fechas de nacimiento, números de servicio público personales y detalles de contacto. También había información clínica comprometida.
Los intentos de Centric por recuperar el control fueron infructuosos. "Se realizó una copia de seguridad de los datos en el sistema todas las noches y se tomó una instantánea de los datos cada día, pero estos backups también se vieron afectados por el malware", recoge la comisión.
Aunque los datos fueron restaurados parcialmente de otras copias de seguridad algunos se borraron del todo. Los de algunas fechas no estaban disponibles mediante el almacenamiento en la nube.
La empresa de atención médica llegó a pagar un rescate no especificado a los atacantes, a cambio de una clave de descifrado. "Centric estableció que la clave no representaba ninguna amenaza, pero que... el descifrador no se podía aplicar a los datos afectados, ya que se había eliminado", añade el informe.
No avisaron a los afectados
Para más inri, Centric solo se puso en contacto con las 2.500 personas cuyos datos habían quedado eliminados, pero no informó del incidente a los 70.000 pacientes cuya información se comprometió de alguna manera. Esto último ha motivado la sanción, por un incumplimiento de la comunicación.
Además, la empresa ha llevado a cabo otras infracciones de la GDPR, como "la falta de implementación de medidas técnicas y organizativas apropiadas para el nivel de riesgo".
Centric Health tiene una plantilla de medio millar de empleados. El grupo brinda atención primaria de salud de médicos generalistas, además de ofrecer servicios dentales, especializados y ocupacionales a más de 40.000 pacientes en toda Irlanda, según consta en el citado informe.
"Queremos asegurarles a nuestros pacientes que asumimos nuestra responsabilidad de proteger sus datos y garantizar la seguridad de nuestros sistemas de TI muy en serio", explica la firma.
"Estamos haciendo todo lo posible para mitigar cualquier posible ataque criminal que se dé en el futuro. Seguimos invirtiendo significativamente en nuestros procesos y procedimientos de ciberseguridad y protección de datos y estamos operando de acuerdo con las mejores prácticas internacionales en estas áreas", añade.