CareCloudコングロマリットは最近、その医療インフラを数時間にわたって混乱させたインシデントに直面し、企業は患者データの潜在的な流出を緊急に調査することを余儀なくされました。オペレーションの麻痺は一時的でしたが、その後の波紋ははるかに深刻になる可能性があります。
同社は証券取引委員会(SEC)に対し、6つの電子医療記録環境の1つへの不正な侵入を開示しました。この違反は3月16日に発生しました。その結果、特定の機能とデータインプットは約8時間にわたってアクセス不可となりました。システムの運用はその日の夕方までに復旧されました。CareCloudは迅速に外部のサイバーセキュリティの専門家を招集し、保険プロバイダーに通知し、情報を法執行機関に引き渡しました。
企業発表によると、この攻撃はCareCloud Health部門内の単一の環境のみに影響しました。他のすべてのプラットフォーム、アーキテクチャ、およびデータリポジトリは完全に保護されたままです。しかし、侵害されたシステムは機密患者情報を保有しているため、当局は現在、不正行為者がこれらの記録にアクセスしたか、または正常に流出させたかどうかを評価しています。潜在的な違反の規模と具体的な性質は現在詳細な精査中です。現在、侵入者の侵入経路は明確に遮断され、復旧の取り組みは精力的に進行中です。
注目すべき点として、同じ日(3月16日)に、別の医療機関であるヴァンダービルト大学医療センターがシステム障害に見舞われました。しかし、この2つの事件の間に関連性は発見されていません。医療センターの代表者は、彼らの不具合は根本的に技術的な性質であり、サイバー攻撃またはランサムウェアの悪意とは無関係であると述べました。オープンソースの報道では、Epicシステムまたは新しいソフトウェアアップデートに関連する潜在的な異常が示唆されていました。
CareCloudは、米国全域の医療機関にクラウドアーキテクチャ、収益サイクルの統合、および補助サービスを提供しています。2024年の終わりまでに、企業は約40,000人の医療従事者と推定2,600の独立系クリニックおよび病院を管理していました。
この違反は、医療技術およびサービスプロバイダーを狙った攻撃の急増する傾向とシームレスに一致しています。StrykerやMasimoなどの大手企業を襲撃した同様の大惨事は、単一の下請業者の脆弱性がいかに産業全体を麻痺させる可能性を持つかを鮮明に示しています。
CareCloudは、今回の事態がその全体的なオペレーションに実質的な損害をもたらさなかったと発表しました。しかし、同コングロマリットは、医療情報の極度の機密性と法的・規制的・風評的リスクの脅威を考慮すると、この事態を極めて重要と見なしています。法医学的な調査が情報の流出を確認した場合、企業はさらに詳細情報を公開し、影響を受けた顧客に丁寧に通知する用意があります。
