Le autorità di regolamentazione statali sono state informate che più di 10 milioni di pazienti sono stati colpiti da una violazione dei dati presso Conduent all’inizio di quest’anno. La società ha presentato un 8-K alla Securities and Exchange Commission (SEC) rivelando che l’incidente è iniziato alla fine del 2024 e si è protratto fino a gennaio 2025.
Conduent ha rivelato che un attore non autorizzato ha avuto accesso al suo ambiente digitale tra il 21 ottobre 2024 e il 13 gennaio 2025 e ha ottenuto file contenenti dati personali dei pazienti. Sebbene l’azienda non abbia divulgato dettagli specifici dei dati compromessi, i file possono includere nomi, date di nascita, numeri di previdenza sociale e informazioni sul trattamento. Il numero completo e non verificato di persone colpite non è stato inizialmente fornito dall’azienda, ma la notifica statale suggerisce che la scala ora supera i 10 milioni.
Tra gli stati notificati ci sono il Texas e l’Oregon. Alle autorità di regolamentazione del Texas è stato detto che più di 4 milioni di persone sono state colpite in quella giurisdizione, mentre oltre 1 milione di persone in Oregon sono state incluse nel conteggio. L’azienda serve numerose organizzazioni sanitarie, tra cui i principali assicuratori e agenzie governative, e molti di questi clienti hanno emesso notifiche di violazione ai loro membri.
Conduent afferma che la violazione ha avuto un impatto su una parte limitata della sua rete e che le sue operazioni quotidiane sono rimaste inalterate. L’azienda ha incaricato le società di sicurezza informatica di condurre revisioni esterne e interne dei suoi sistemi e ha dichiarato di aver iniziato ad aggiornare la sua posizione di sicurezza della rete. Conduent ha anche rivelato che i suoi costi di risposta diretta ammontavano a circa 25 milioni di dollari. Questa cifra è stata parzialmente mitigata da un beneficio di 9 milioni di dollari recuperato attraverso una compagnia assicurativa per le spese legali.
L’incidente sottolinea i rischi legati ai fornitori di servizi alle imprese nel settore sanitario. Conduent offre un’ampia gamma di servizi di back-office, come la stampa, l’invio, l’elaborazione dei documenti e i servizi di integrità dei pagamenti, sia per le agenzie governative che per le organizzazioni sanitarie. Poiché gestisce informazioni personali e mediche sensibili per conto di altre organizzazioni, qualsiasi violazione dei suoi sistemi può avere effetti a cascata.
Per gli individui colpiti, le implicazioni sono gravi. Con l’esposizione prevista di identificatori altamente sensibili come i numeri di previdenza sociale o i registri dei trattamenti, aumenta il rischio di furto di identità, frode di identità medica o phishing rivolto ai pazienti. Le persone i cui dati potrebbero essere stati interessati dovrebbero prendere in considerazione il monitoraggio di attività insolite, rivedere le loro dichiarazioni e prestare attenzione alle comunicazioni che fanno riferimento a reclami che non hanno avviato.
Sebbene Conduent non abbia confermato pubblicamente se i dati compromessi siano stati venduti o pubblicati online, la notifica alle autorità di regolamentazione e la portata dell’impatto suggeriscono che le parti interessate includono un ampio segmento della base clienti del fornitore. Diversi grandi assicuratori hanno ammesso pubblicamente il coinvolgimento nell’incidente o nelle notifiche dei membri interessati, sollevando dubbi su quanto accuratamente i fornitori di servizi abbiano mappato le loro dipendenze dai fornitori e se una violazione dei fornitori possa offrire agli aggressori l’accesso a più organizzazioni a valle.
Da un punto di vista normativo, la violazione sarà probabilmente oggetto di un attento esame. I procuratori generali statali e le autorità di regolamentazione federali monitorano attentamente le violazioni di questa portata, in particolare quelle che coinvolgono dati di diritto sanitario o servizi di associazione aziendale. Le entità dei settori sanitario e dei servizi governativi devono assicurarsi di mantenere una solida supervisione dei fornitori di terze parti, di eseguire verifiche dei controlli di accesso, di crittografare i dati sensibili inattivi e in transito e di condurre esercizi di risposta tempestiva agli incidenti.
Per i fornitori di servizi come Conduent, questo evento può richiedere modifiche significative. L’azienda si è impegnata a collaborare con i team forensi, a informare le persone interessate e a migliorare la sicurezza della sua rete. Le pratiche di gestione dei fornitori potrebbero essere oggetto di revisione, con requisiti più rigorosi per l’applicazione di patch, il rilevamento delle intrusioni, la segmentazione dei sistemi e la limitazione dell’accesso ai dati non necessari. Le organizzazioni che si affidano ai fornitori per le operazioni di back-office devono ora prestare maggiore attenzione al modo in cui i loro dati vengono gestiti al di fuori dei sistemi primari.
In definitiva, questa violazione è un promemoria della complessità e dell’interconnettività dei moderni sistemi di dati. Un fornitore che supporta le operazioni sanitarie e governative può sembrare periferico, ma le violazioni in tali aziende possono avere implicazioni ampie e gravi. Le entità devono andare oltre il presupposto che il proprio perimetro sia sicuro ed estendere la resilienza informatica per includere tutti i livelli del loro ecosistema di partner.
Mentre i dettagli finali rimangono in sospeso e il numero completo di persone colpite potrebbe essere ancora più alto, la cifra di oltre 10 milioni conferma che la violazione è uno dei più grandi incidenti dell’anno tra i fornitori di servizi sanitari. I pazienti interessati, i fornitori di servizi e le autorità di regolamentazione dovranno affrontare la questione di come gestire il rischio, comunicare chiaramente e prevenire eventi simili in futuro.