Staatsregelgevers zijn op de hoogte gebracht dat eerder dit jaar meer dan 10 miljoen patiënten werden getroffen door een datalek bij Conduent. Het bedrijf diende een 8-K in bij de Securities and Exchange Commission (SEC) waaruit bleek dat het incident eind 2024 begon en voortduurde tot januari 2025.
Conduent onthulde dat een onbevoegde actor tussen 21 oktober 2024 en 13 januari 2025 toegang had tot zijn digitale omgeving en bestanden met persoonlijke gegevens van patiënten had verkregen. Hoewel het bedrijf geen specifieke details van de gecompromitteerde gegevens heeft vrijgegeven, kunnen de bestanden namen, geboortedata, burgerservicenummers en behandelingsinformatie bevatten. Het volledige, niet-geverifieerde aantal getroffen personen werd aanvankelijk niet door het bedrijf verstrekt, maar de kennisgeving van de staat suggereert dat de schaal nu meer dan 10 miljoen bedraagt.
Onder de aangemelde staten zijn Texas en Oregon. Regelgevers in Texas kregen te horen dat meer dan 4 miljoen mensen in dat rechtsgebied werden getroffen, terwijl meer dan 1 miljoen mensen in Oregon in de telling werden opgenomen. Het bedrijf bedient tal van zorgorganisaties, waaronder grote verzekeraars en overheidsgerelateerde instanties, en meerdere van deze klanten hebben inbreukmeldingen gedaan aan hun leden.
Conduent zegt dat de inbreuk een beperkt deel van zijn netwerk heeft getroffen en dat de dagelijkse activiteiten onaangetast zijn gebleven. Het bedrijf schakelde cyberbeveiligingsbedrijven in om externe en interne beoordelingen van zijn systemen uit te voeren en zei dat het is begonnen met het upgraden van zijn netwerkbeveiligingshouding. Conduent maakte ook bekend dat de directe responskosten in totaal ongeveer $ 25 miljoen bedroegen. Dat cijfer werd gedeeltelijk verzacht door een uitkering van $ 9 miljoen die werd teruggevorderd via een verzekeringsmaatschappij voor juridische kosten.
Het incident onderstreept de risico’s die verbonden zijn aan zakelijke dienstverleners in de zorgsector. Conduent biedt een breed scala aan backoffice-diensten, zoals printen, mailen, documentverwerking en betalingsintegriteitsdiensten aan zowel overheidsinstanties als zorgorganisaties. Omdat het namens andere organisaties gevoelige persoonlijke en medische informatie behandelt, kan elke inbreuk op zijn systemen cascade-effecten hebben.
Voor getroffen personen zijn de implicaties ernstig. Met de verwachte blootstelling van zeer gevoelige identificatiegegevens zoals burgerservicenummers of behandelingsdossiers, neemt het risico op identiteitsdiefstal, medische identiteitsfraude of phishing gericht op patiënten toe. Personen van wie de gegevens mogelijk zijn beïnvloed, moeten overwegen om te controleren op ongebruikelijke activiteiten, hun verklaringen te herzien en uit te kijken naar communicatie die verwijst naar claims die ze niet hebben geïnitieerd.
Hoewel Conduent niet publiekelijk heeft bevestigd of de gecompromitteerde gegevens zijn verkocht of online zijn geplaatst, suggereren de kennisgeving aan toezichthouders en de omvang van de impact dat de getroffen partijen een groot deel van het klantenbestand van de provider omvatten. Verschillende grote verzekeraars hebben publiekelijk erkend dat ze betrokken waren bij het incident of de meldingen van getroffen leden, wat vragen oproept over hoe grondig serviceproviders hun leveranciersafhankelijkheden in kaart hebben gebracht en of een inbreuk op een leverancier aanvallers toegang zou kunnen bieden tot meerdere downstream-organisaties.
Vanuit regelgevend oogpunt zal de inbreuk waarschijnlijk nauwlettend in de gaten worden gehouden. Procureurs-generaal van de staat en federale regelgevers houden inbreuken van deze omvang nauwlettend in de gaten, met name die met betrekking tot gezondheidsrechtelijke gegevens of zakelijke diensten. Entiteiten in de gezondheidszorg en overheidsdiensten moeten ervoor zorgen dat ze een robuust toezicht houden op externe leveranciers, audits van toegangscontroles uitvoeren, gevoelige gegevens in rust en onderweg versleutelen en tijdig reageren op incidenten.
Voor serviceproviders zoals Conduent kan deze gebeurtenis leiden tot aanzienlijke wijzigingen. Het bedrijf heeft zich ertoe verbonden om samen te werken met forensische teams, getroffen personen op de hoogte te stellen en de beveiliging van zijn netwerk te verbeteren. Praktijken op het gebied van leveranciersbeheer kunnen worden herzien, met strengere vereisten voor patching, inbraakdetectie, segmentatie van systemen en het beperken van onnodige gegevenstoegang. Organisaties die voor backoffice-activiteiten afhankelijk zijn van leveranciers, moeten nu meer aandacht besteden aan de manier waarop hun gegevens buiten de primaire systemen worden behandeld.
Uiteindelijk herinnert deze inbreuk aan de complexiteit en interconnectiviteit van moderne datasystemen. Een leverancier die de gezondheidszorg en overheidsactiviteiten ondersteunt, lijkt misschien perifeer, maar inbreuken bij dergelijke bedrijven kunnen brede en ernstige gevolgen hebben. Entiteiten moeten verder gaan dan de veronderstelling dat hun eigen perimeter veilig is en de cyberweerbaarheid uitbreiden tot alle lagen van hun partnerecosysteem.
Hoewel de definitieve details nog in behandeling zijn en het volledige aantal getroffen personen mogelijk nog hoger is, bevestigt het cijfer van meer dan 10 miljoen dat de inbreuk een van de grotere incidenten van zorgleveranciers van het jaar is. Getroffen patiënten, dienstverleners en regelgevers zullen allemaal worden geconfronteerd met de vraag hoe risico’s kunnen worden beheerd, duidelijk kunnen communiceren en soortgelijke gebeurtenissen in de toekomst kunnen worden voorkomen.