Anthem pagará casi US$ 40 millones para resolver una demanda por violación de datos

Anthem Inc. afirmó que pagaría US$ 39.5 millones como parte de un acuerdo con los procuradores generales de los Estados Unidos luego de una investigación sobre un ataque cibernético masivo a la empresa en 2015.

La segunda aseguradora de salud más grande de Estados Unidos señaló que un grupo delictivo patrocinado por un estado había perpetrado el ataque, y agregó que no cree que la empresa haya violado la ley en relación con la seguridad de sus datos.

Anthem dijo que también estaba comprometida a seguir centrándose en proteger la información.

Anthem había dicho que sospechaba que los piratas informáticos habían robado información perteneciente a decenas de millones de clientes actuales y pasados, así como a empleados.

La investigación del FBI y de la empresa de seguridad FireEye Inc. no encontró ninguna prueba de que la información obtenida mediante el ataque cibernético haya resultado en algún caso de fraude, dijo Anthem.

La violación de datos sufrida por Anthem intensificará el control de los riesgos cibernéticos de las organizaciones de salud

Se espera que las aseguradoras intensifiquen su control de los riesgos cibernéticos en las organizaciones de atención sanitaria como resultado de la violación de datos masiva que afectó a Anthem Inc., pero la competencia y la capacidad podrían limitar los aumentos de las primas.

Según los expertos, se espera que la reacción de Lexington Insurance Co., como la principal aseguradora contra ataques cibernéticos de Anthem, con sede en Indianápolis, marque la pauta en materia de precios para el mercado de seguros.

En un anuncio, Joseph R. Swedish, CEO de Anthem, dijo que el “muy sofisticado ataque cibernético externo” incluía el robo de nombres, fechas de nacimiento, identificación médica y números de la Seguridad Social, direcciones, direcciones de correo electrónico, información relativa al empleo y ciertos datos sobre ingresos. El ataque afectó a unos 80 millones de clientes y empleados.

A pesar de las leyes federales como la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act) de 1996 y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (Health Information Technology for Economic and Clinical Health Act), así como numerosas leyes estatales relativas a los requisitos de notificación de violación de datos, los expertos afirman que la industria del cuidado de la salud se ha quedado rezagada en cuanto a la inversión en tecnología.

El sector del cuidado de la salud “no ha sido tan agresivo como otras industrias”, como la banca y las aerolíneas, que “han tenido más a su disposición para invertir en la infraestructura técnica”, afirmó Katherine Keefe, directora mundial del equipo de respuesta ante violaciones de datos de Beazley P.L.C., con sede en Filadelfia.

Ya se han presentado varias demandas en las que se nombra a Anthem, la segunda aseguradora de salud más importante del país, como demandada y se solicita la certificación de la demanda colectiva. Entre ellas se encuentra Susan Morris et al. v. Anthem Inc. et al., una demanda presentada en el tribunal federal de Santa Ana, California, en la que se acusa a la aseguradora de salud de prácticas comerciales desleales, incumplimiento del pacto de buena fe y trato justo, entre otros cargos. El abogado de la Sra. Morris, Aashish Y. Desai, del Estudio Jurídico Desai P.C. de Costa Mesa, California, dijo que espera que el litigio se consolide en una sola jurisdicción, lo que es habitual en litigios a nivel nacional comparables.

Además, la Asociación Nacional de Comisionados de Seguros solicitó un examen multiestatal de Anthem y sus afiliadas, y varios procuradores generales del estado y entes reguladores iniciaron investigaciones sobre la violación.

Según fuentes del mercado de seguros, Anthem, la unidad Lexington Insurance de AIG brinda una cobertura de US$ 10 millones por encima de los US$ 10 millones de retención.

Varias aseguradoras de responsabilidad civil en exceso también están en riesgo; se espera que la cobertura cibernética total estimada de Anthem de entre US$150 y US$200 millones se agote como resultado de la violación, agregaron tales fuentes.

Los datos de Anthem pueden llegar a valer hasta US$ 20 por registro en el mercado negro, frente a US$ 1 por los datos de las tarjetas de crédito, explicó Craig Musgrave, vicepresidente sénior y director de información de la aseguradora contra riesgos de responsabilidad civil por mala praxis The Doctors Co., con sede en Napa, California.

FUENTE: THE BUSINESS TIMES

LINK:https://www.businesstimes.com.sg/technology/anthem-to-pay-nearly-us40m-to-settle-data-breach-probe