ニュージャージー州サマセット拠点のヘルスケアソフトウェア企業CareCloudは、2026年3月16日のネットワーク混乱を引き起こしたセキュリティインシデントについて、米国証券取引委員会(SEC)に通知しました。CareCloudは病院および医師事務所のビジネスアソシエイトであり、45,000以上のプロバイダーと協力しています。同社はソフトウェアソリューション(電子カルテシステムを含む)を提供しており、その電子カルテ環境が不正アクセスの対象でした。
SEC届出によると、ハッカーは6つの電子カルテ環境の1つに約8時間アクセスでき、機能とデータアクセスが部分的に中断されました。CareCloudは2026年3月16日夜間に環境を完全に復旧することができました。CareCloudは脅威アクターがもはやそのシステムにアクセスできなくなったと信じています。当初、インシデントは法執行機関に報告され、サイバー保険会社に通知され、調査を支援し、その環境の保護を支援するために第三者のサイバーセキュリティスペシャリストが関与しました。侵害された環境に保存されたデータの機密性とデータ漏洩の潜在的なコストから、これが重大なインシデントであることが明らかになると、SECに通知されました。
CareCloudは、インシデントが1つのCareCloud Health環境に限定されており、他のビジネスシステムは関係していないと信じています。不正なアクティビティの性質と範囲を決定するための調査は進行中であり、患者データがアクセスされたまたは流出した程度、および関係するデータのカテゴリと量を含みます。
SEC届出日現在、インシデントは会社の事業に重大な影響を与えていませんが、初期評価ではインシデントが会社の財務状態または事業成績に重大な影響を与える可能性は低いと示唆していますが、インシデントの影響はまだ完全に評価されていません。当然ながら、修復と対応、法務、規制、通知関連の問題、および患者、顧客、相手方、評判、および事業への可能性のある影響に関連するコストがあります。同社はサイバー保険契約を保有しており、あらゆるコストをカバーするのに十分な保険補償があると信じています。
CareCloudは、クライアントのいずれがどのように影響を受けたかを公開していませんが、インシデントで医療記録が流出した個人の数の推定値も提供していません。影響を受けたクライアントと個人が特定されたら、通知が発行されます。公開時点で、攻撃の責任を主張することが知られているサイバー脅威アクターはありません。
翻訳元: https://www.hipaajournal.com/carecloud-data-breach/
