.
A empresa de biotecnologia Enzo Biochem está sendo forçada a pagar uma multa de US$ 4,5 milhões a três procuradores-gerais estaduais após um ataque de ransomware em 2023 que comprometeu os dados de mais de 2,4 milhões de pessoas.
A procuradora-geral de Nova York, Letitia James, anunciou a notícia na terça-feira após a conclusão de uma investigação sobre o incidente de Enzo, descobrindo várias práticas irregulares de segurança cibernética que levaram ao acesso inicial dos invasores e à detecção tardia.
O dinheiro será dividido entre Nova York, Nova Jersey e Connecticut, embora o primeiro receba a maior parte disso. A Enzo é uma empresa sediada em Nova York e é o lar de cerca de 1,457 milhão de pessoas que foram afetadas pelo incidente, a maioria do número total de indivíduos impactados.
Nova Jersey receberá mais de US$ 930.000 depois que centenas de milhares de seus moradores foram afetados pelo roubo de dados, enquanto Connecticut receberá US$ 743.110,76 das pessoas afetadas em seu estado.
Entre as falhas de segurança mais flagrantes no negócio de biotecnologia estava a higiene de credenciais precária adotada em contas de usuários-chave. A investigação descobriu que dois conjuntos de credenciais de usuários genuínos foram usados para obter acesso inicial aos sistemas de Enzo, e essas credenciais foram compartilhadas entre cinco funcionários diferentes.
Para piorar a situação, uma dessas credenciais não era atualizada há dez anos. O quão segura essa senha seria, ninguém sabe.
Autenticação multifator (MFA)? Não, a equipe poderia acessar e-mails de qualquer lugar sem precisar passar por nenhum obstáculo extra.
A Enzo também não criptografou todos os dados confidenciais de pacientes em repouso, e isso era conhecido desde 2021 – a data de sua mais recente Análise de Risco de Segurança HIPAA administrada pelo fornecedor antes do ataque. Dados confidenciais foram criptografados em trânsito e em repouso em laptops e telefones, mas alguns servidores e estações de trabalho de desktop os armazenaram sem criptografia.
O fornecedor também descobriu várias outras falhas, como documentação ausente, uma abordagem “informal” para avaliar riscos aos sistemas de TI e uma falha no uso de ferramentas automáticas para detectar anomalias de rede, entre outras.
Talvez seja por isso que a empresa não conseguiu detectar a intrusão dos invasores de ransomware por dias após eles terem se infiltrado. Toda a atividade da rede era monitorada manualmente, em vez de sistemas automatizados, como é a norma, e foi isso que fez com que os invasores passassem despercebidos.
“É impressionante que, ainda no ano passado, esta empresa de saúde aparentemente não tenha seguido as precauções básicas de segurança para contas online, como instruir seus funcionários a não compartilhar senhas”, disse o procurador-geral de Nova Jersey, Matthew J Platkin.
“Empresas de todos os tipos, e especialmente empresas de assistência médica, devem fazer da segurança cibernética robusta uma prioridade máxima. Práticas precárias de privacidade e segurança de dados facilitam a exploração de vulnerabilidades tecnológicas por criminosos cibernéticos e o acesso a informações confidenciais de saúde.”
Desde que o incidente aconteceu, a Enzo investiu muito em segurança, com uma lista robusta de 15 pontos de melhorias que podem fazer um trabalho melhor de apagar concisamente sua gama de fraquezas antes do ataque.
A lista completa pode ser vista no relatório da investigação [PDF]mas os destaques incluem mover dados confidenciais para uma solução de armazenamento empresarial segura, instalar um sistema de detecção e resposta de endpoint (EDR), pagar por um SOC gerenciado 24 horas por dia, 7 dias por semana, aumentar os requisitos de comprimento mínimo de senha e aplicar MFA em vários sistemas, incluindo e-mail.
Não seria uma revisão de segurança sem apertar o grande botão vermelho Zero Trust, e não há exceção aqui.
Os procuradores-gerais também impuseram uma série de exigências adicionais à Enzo, muitas das quais relacionadas a garantir que a empresa mantenha seus padrões de segurança aprimorados além do escopo da investigação.
“Fazer exames de sangue ou testes médicos não deve resultar em informações pessoais e de saúde dos pacientes roubadas por criminosos cibernéticos”, disse James.
“Empresas de assistência médica como a Enzo que não priorizam a segurança de dados colocam os pacientes em sério risco de fraude e roubo de identidade. A segurança de dados faz parte da segurança do paciente, e meu escritório continuará a responsabilizar as empresas quando elas não conseguirem proteger os nova-iorquinos.”
Em uma raridade nesses casos, nenhum grupo de ransomware assumiu a responsabilidade pelo ataque à Enzo, que na época estava envolvida no negócio de testes de laboratório clínico antes de vender a unidade logo após o ataque por US$ 113,25 milhões.
Foi, no entanto, uma das muitas empresas médicas a ser invadida em um curto período de tempo. Empresas como Zoll, Independent Living Systems, NextGen Healthcare e PharMerica foram todas atingidas na primavera do hemisfério norte de 2023.
As organizações de saúde há muito tempo são alvo de cibercriminosos motivados financeiramente. Só neste ano, vimos grandes incidentes acontecerem na Change Healthcare e na Synnovis – uma provedora de serviços de patologia para vários hospitais de Londres – incidentes que mais uma vez destacaram o quão disruptivos os ataques ao setor podem ser.
O registro entrou em contato com a Enzo para obter comentários, mas não obteve resposta a tempo para publicação. ®
.
