Центры Medicare и Medicaid заявили, что нарушение связано с субподрядчиком, который, по-видимому, нарушил свои обязательства перед агентством.
По данным Центров Medicare и Medicaid, личные данные, включая информацию о банковских маршрутах и учетных записях 254 000 человек, могли быть раскрыты во время атаки программы-вымогателя на субподрядчика агентства.
Субподрядчик Healthcare Management Solutions LLC (HMS) работает по контракту с ASRC Federal Data Solutions LLC для устранения «системных ошибок, связанных с правами получателя Medicare и записями о выплате страховых взносов», а также для «поддержки сбора страховых взносов Medicare от прямых поставщиков». платящее население-бенефициар», — говорится в пресс-релизе CMS в среду.
«Защита и безопасность информации о бенефициаре имеет первостепенное значение для этого агентства», — заявила в пресс-релизе администратор CMS Чикита Брукс-Ласур. «Мы продолжаем оценивать последствия нарушения с участием субподрядчика, содействовать оказанию поддержки лицам, потенциально затронутым инцидентом, и предпримем все необходимые действия, необходимые для защиты информации, доверенной CMS».
Атака произошла 8 октября, согласно образцу письма, которое CMS отправляет потенциально затронутым бенефициарам «на этой неделе». На следующий день CMS заявила, что «была уведомлена о том, что системы субподрядчика подверглись инциденту кибербезопасности, но системы CMS не были затронуты», согласно письму, в котором добавляется, что CMS позже определила — 18 октября — с «высокой степенью достоверности». что инцидент потенциально включал конфиденциальную информацию.
«Первоначальная информация указывает на то, что HMS действовала с нарушением своих обязательств перед CMS, и CMS продолжает расследование инцидента», — говорится в письме.
В дополнение к банковской информации нарушение могло включать имя получателя, адрес, дату рождения, номер социального страхования и идентификатор получателя Medicare, а также информацию о праве на участие в программе Medicare, регистрации и страховых взносах.
В письме CMS бенефициарам Medicare говорится, что агентству ничего не известно о мошенничестве с идентификацией или ненадлежащем использовании их информации «в результате этого инцидента», но что «из-за большой осторожности» агентство выдаст им новый Карта Medicare с новым номером в ближайшие недели. Бенефициары могут продолжать использовать свои существующие карты в течение промежуточного периода, говорится в письме.
Агентство также предоставило инструкции по получению бесплатных услуг кредитного мониторинга от Equifax.
CMS не ответила на запрос о комментариях относительно мер кибербезопасности подрядчиков или их соответствия каким-либо связанным требованиям.