El 3 de junio de 2019, Quest Diagnostics, una empresa líder en pruebas de laboratorio clínico, anunció que un usuario no autorizado había accedido a la información personal de 11,9 millones de clientes, incluidos números de seguridad social, información de cuentas bancarias, números de tarjetas de crédito e información médica, según una presentación ante la Comisión de Bolsa y Valores (SEC).
Tercero culpable
American Medical Collection Agency (AMCA), proveedor de servicios de cobro de facturas a Optum360, contratista de Quest, notificó a Quest que alguien tuvo acceso no autorizado a las páginas de pago de AMCA entre el 1 de agosto de 2018 y el 30 de marzo de 2019. AMCA aún no ha especificado qué datos de individuos han sido expuestos, y UnitedHealth, la matriz de Optum360, ha informado que sus sistemas Optum360 no se vieron afectados por esta violación. En respuesta, Quest ha suspendido las solicitudes de cobro a AMCA.
Un problema cada vez mayor
La magnitud de la brecha de Quest pone de relieve la escala de los riesgos que terceros pueden plantear a las organizaciones. La brecha de Quest es significativa por su tamaño relativo y su representación de una tendencia mayor: hackers que atacan a empresas sanitarias para explotar la información financiera de los pacientes, el Santo Grial para los atacantes.
Aunque la brecha de Quest fue una fracción del tamaño de la mayor brecha sanitaria, expuso una cantidad significativa de datos. La mayor brecha sanitaria de la historia fue el ataque a Anthem Inc. en 2014, en el que los hackers robaron o comprometieron los registros de 79 millones de personas. La brecha de Quest solo expuso una fracción de la de Anthem, pero este ataque superó la mayor brecha del año pasado, que comprometió los datos de 2,65 millones de clientes. Está claro que el problema va en aumento.
Además, Quest fue violada a través de las páginas de pago de AMCA. La información sanitaria no se monetiza fácilmente, por lo que una empresa de cobro de facturas, como AMCA, es un objetivo más atractivo para los hackers.
Es necesario un enfoque global de la gestión de riesgos de terceros
Esta brecha subraya la necesidad de que las organizaciones implementen un programa integral de riesgos de terceros, especialmente uno que supervise los dominios vulnerables, como los portales de pago e inicio de sesión. Prevalent puede ayudar. Nuestra plataforma de gestión de riesgos de terceros incluye funciones de supervisión de dominios para garantizar que se admiten los protocolos de cifrado estándar del sector y que se aplica HTTP Strict Transport Security (HSTS). De hecho, Forrester nombró recientemente a Prevalent Líder en The Forrester New Wave™: Cybersecurity Risk Rating Solutions y señaló que, "Prevalent es lo mejor para las empresas que quieren una herramienta TPRM con calificaciones de riesgo cibernético integradas. Dada su sólida inteligencia de riesgos y sus completas funciones de gestión de riesgos, Prevalent es una opción digna para los profesionales de Seguridad y Riesgos que buscan una herramienta para todas las actividades de TPRM cibernética."
Al ser la única plataforma unificada del sector creada específicamente que integra una potente combinación de evaluaciones automatizadas, supervisión continua e intercambio de pruebas para la colaboración entre empresas y proveedores, Prevalent proporciona la solución más completa para un programa de riesgos de terceros eficaz y de alto funcionamiento.
Para obtener más información sobre cómo Prevalent puede ayudarle a automatizar, dar visibilidad y ampliar su vídeo de gestión de riesgos de terceros, descargue nuestro libro blanco de mejores prácticas o póngase en contacto con nosotros para solicitar una demostración.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
