Le ministère américain de la santé ouvre une enquête sur le piratage de UnitedHealth information fournie par Reuters 13/03/2024 à 22:22
((Traduction automatisée par Reuters, veuillez consulter la clause de non-responsabilité https://bit.ly/rtrsauto))
(Ajout d'un commentaire d'un avocat spécialisé dans la protection de la vie privée aux paragraphes 7 à 9) par Sriparna Roy et Patrick Wingrove
Le gouvernement américain a annoncé mercredi qu'il avait ouvert une enquête sur la cyberattaque de UnitedHealth Group UNH.N Change Healthcare afin de déterminer s'il y a eu violation des données de santé protégées et si l'entreprise a respecté la loi américaine sur la protection de la vie privée.
Il s 'agit de la première annonce d'une enquête menée par le ministère de la santé et des services sociaux sur la cyberattaque du 21 février qui a perturbé les soins de santé dans tous les États-Unis. Les informations relatives aux patients sont protégées par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, ou HIPAA).
"Compte tenu de l'ampleur sans précédent de cette cyberattaque et dans l'intérêt des patients et des prestataires de soins de santé, le Bureau des droits civils du ministère de la santé et des services sociaux a ouvert une enquête sur l'incident, a déclaré le ministère de la santé.
Change Healthcare traite environ 50 % des demandes de remboursement de frais médicaux aux États-Unis, pour environ 900 000 patients
UnitedHealth a déclaré qu'elle coopérerait à l'enquête. Elle n'a pas divulgué d'informations sur les données des patients qui ont pu être exposées.
"Notre priorité immédiate est de restaurer nos systèmes, de protéger les données et d'aider les personnes dont les données ont pu être affectées", a déclaré UnitedHealth.
Selon Shannon Britton Hartsfield, avocate spécialisée dans la protection de la vie privée dans le secteur de la santé au sein du cabinet Holland & Knight, l'HIPAA impose aux centres d'échange, aux plans et aux prestataires de soins de santé de signaler les violations de données aux patients dans les 60 jours suivant leur découverte.
Selon elle, l'ampleur de la cyberattaque pourrait empêcher UnitedHealth et d'autres entreprises couvertes par l'HIPAA de se conformer à leurs obligations de notification dans ce cas.
"Les patients pourraient être affectés par cet incident de différentes manières, par l'intermédiaire de différentes entités", a-t-elle déclaré, ajoutant que le tri des données pour déterminer qui a été affecté serait une "tâche extraordinaire"
Le Bureau des droits civils, chargé de gérer et de faire respecter les règles applicables au secteur des soins de santédans le cadre de la loi HIPAA, a déclaré que l'un des principaux objectifs de l'enquête était de déterminer si UnitedHealth s'était conformé à cette loi et d'identifier l'ampleur de l'éventuelle violation.
Les enquêtes de l'Office for Civil Rights sur l'HIPAA sont courantes. En 2022, le bureau a lancé 676 examens de conformité pour enquêter sur des allégations de violations de la loi HIPAA qui ne découlaient pas de plaintes.
L'ampleur de la violation de données reste inconnue et UnitedHealth a déclaré qu'elle poursuivait son enquête.
UnitedHealth a attribué le piratage au gang "Blackcat", un groupe de ransomware notoire qui a l'habitude des attaques perturbatrices.
Dans un message posté sur leur site darknet, puis rapidement supprimé, les pirates ont déclaré le 21 février qu'ils avaient volé millions d'enregistrements sensibles, y compris des données relatives à l'assurance médicale et à la santé, de l'entreprise.