בתחילת החודש אישרה חברת Practice Resources, LLC שחוותה פירצת אבטחה בעקבות התקפת כופרה. לפי דברי החברה הביאה התקפת הכופרה לחשיפת נתוני 924,138 חולים. על פי הדיווח, הנתונים שנפגעו כוללים את שמות החולים, כתובות המגורים, תאריכי הטיפול, נתוני קופות החולים ומידע מתוך הרשומות הרפואיות. לאחרונה שלחה החברה מכתבי יידוע לכל החולים ב- 29 ספקי הבריאות אשר קיבלו שירות מ- Practice Resources, תוך שהם מודיעים להם אודות אירוע הכופר ומה הם יכולים לעשות כדי להגן על עצמם מפני גניבת זהות והונאות אחרות.
חברת Practice Resources מספקת שירותי חיוב ושירותים קשורים אחרים לספקי שירותי בריאות. החברה שנוסדה בשנת 1996 ובסיסה בסירקיוז, ניו יורק, מתמקדת אך ורק בתעשיית הבריאות. החברה מספקת מגוון רחב של שירותים לספקי שירותי בריאות, לרבות ניהול מחזור הכנסות, טכנולוגיית מידע, שירותים פיננסיים, ייעוץ, הרשמה מרחוק ושירותי משאבי אנוש. Practice Resources מעסיקה כ- 190 עובדים ומייצרת כ- 35 מיליון דולר בהכנסות שנתיות. מתוך כך הגיעו לרשות החברה נתוני מטופלים אשר בסופו של דבר היו נחשפו בעקבות מתקפת הכופר. למרות שהחברה אינה מציינת מתי בדיוק נודע לה על התקרית, בהצהרות שלאחר מכן, טענה כי בתגובה למתקפה היא הקשיחה את אבטחת המערכות שלה ולאחר מכן התקשרה עם גורמי אבטחת סייבר כדי לסייע בהמשך החקירה.
פירצת המידע שחוותה חברת Practice Resources היא מה שמכונה הפרת נתונים של צד שלישי. מונח פרצת מידע של צד שלישי הוא אירוע שבו החברה שנפרצה היא לא זו שקיבלה את המידע שדלף מהמטופלים. כאן, Practice Resources סיפקה שירותים עסקיים למספר ספקי שירותי בריאות ובמסגרת זו הייתה להם גישה למידע רגיש של המטופלים. לפיכך, כאשר המערכות של Practice Resources נפרצו, זה השפיע על מטופלים שרובם לא הכירו את Practice Resources ואת העובדה שהחברה מחזיקה במידע שלהם. מטבע הדברים, מטופלים עשויים לפנות תחילה לספקים שלהם לתשובות, שכן זהו הארגון אשר מבחינתם החזיק את המידע אודותם. עם זאת, במצבים אלו, קביעה איזו חברה אחראית לפריצת מידע יכולה להיות מורכבת ומטופלים שהמידע שלהם דלף עלולים לא לדעת היכן לחפש תשובות. ככלל, על כל חברה אשר מתחזקת, מאחסנת, מעבירה או מקבלת נתוני משתמשי קצה מוטלת חובה חוקית כלפי משתמשי הקצה ללא קשר לשאלה אם החברה שהותקפה קיבלה את המידע ישירות ממשתמש הקצה. למעשה, לרוב אין זה רלוונטי כיצד מגיעים לידי ארגון נתוני מטופלים והשאלה היא האם החברה שנפרצה היא זו שהתרשלה באבטחת המידע. בהתייחסות לפירצת המידע אצל Practice Resources, בהתבסס על תיאור האירוע, נראה שאם ארגון כלשהו נושא באחריות, יהיה זה Practice Resources. עם זאת, מכיוון שהחקירה עדיין בחיתוליה, מוקדם מדי לדעת אם פירצת המידע הייתה תוצאת רשלנות של Practice Resources.
