PyE
NUEVA YORK : Enzo Biochem pagará 4,5 millones de dólares para resolver los cargos regulatorios de que los protocolos de seguridad laxos contribuyeron a un ciberataque de abril de 2023 que comprometió números de Seguro Social, historiales médicos y otra información de aproximadamente 2,4 millones de pacientes.
El acuerdo del martes con Nueva York, Nueva Jersey y Connecticut resolvió las reclamaciones de que Enzo no protegió adecuadamente la información de salud personal y privada de los pacientes, dijo la fiscal general de Nueva York, Letitia James.
Según una garantía de cese firmada por Enzo, los ciberatacantes accedieron a la red de la empresa de biotecnología con dos credenciales de inicio de sesión compartidas por cinco empleados de Enzo, incluida una credencial que no había cambiado en una década.
Luego, los atacantes instalaron malware en varios sistemas, y la empresa con sede en Farmingdale, Nueva York, tardó varios días en descubrirlo porque no monitoreaba la actividad sospechosa.
Antes y como parte del acuerdo, Enzo está reforzando la seguridad, incluso exigiendo contraseñas más seguras y autenticación de dos factores, encriptando la información personal y desarrollando un plan para responder más rápidamente a los ciberataques.
Enzo comenzó a alertar a los pacientes sobre la violación en junio de 2023.
Alrededor de 1,46 millones de neoyorquinos se vieron afectados, incluidos unos 405.000 cuyos números de Seguridad Social se vieron comprometidos. Nueva York recibirá 2,8 millones de dólares del acuerdo.
«Los análisis de sangre o las pruebas médicas no deberían dar lugar a que los cibercriminales roben información personal y de salud de los pacientes», dijo James en una declaración.
Enzo no respondió de inmediato a una solicitud de comentarios. La empresa abandonó las pruebas de laboratorio clínico en agosto pasado.
