Americký prevádzkovateľ nemocníc Munson Healthcare tento týždeň varoval svojich pacientov pred možným zneužitím ich osobných údajov a lekárskych záznamov. Spoločnosť informovala o útoku po viac ako pol roku od jeho odhalenia.
Tie sa mohli dostať do nesprávnych rúk po minuloročnom phishingovom útoku. Podľa michiganskej spoločnosti neznámy útočník rozposielal jej zamestnancom medzi júlom a októbrom 2019 podvrhnuté e-maily v snahe preniknúť do ich e-mailových účtov. V e-mailovej komunikácii následne vedel prehliadať citlivé osobné informácie pacientov ako meno, dátum narodenia či informácie o poistení, diagnostike a liečbe. V niektorých prípadoch boli súčasťou správ aj čísla bankových účtov, vodičských preukazov a sociálneho zabezpečenia. Riaditeľ informačnej bezpečnosti Lucas Otten však ubezpečil, že k ich zneužitiu dôjsť nemalo.
„Je dôležité poznamenať, že nemáme dôkazy o tom, že neautorizovaná osoba, ktorá mala prístup k informáciám si ich aj stiahla alebo zneužila. Napriek tomu posielame pacientom upozornenia, aby dotknuté osoby mohli podniknúť kroky pre svoju ochranu.“ Spoločnosť chce pre pacientov naviac zriadiť linku podpory a tým, ktorých čísla sociálneho zabezpečenia mohli byť ohrozené, ponúka bezplatné monitorovanie úverových správ.
„Súkromie pacientov je pre nás top prioritou a túto záležitosť berieme veľmi vážne. Munson pravidelne trénuje a školí všetkých zamestnancov o kyberbezpečnostných rizikách a využívame jednotky pre riešenie kybernetických incidentov v spolupráci s inými nemocnicami v Michigane, ktoré sú k dispozícii nonstop a ktoré monitorujú a reagujú na podozrivé incidenty v reálnom čase,“ uviedol Otten.
Vyšetrovanie trvalo viac ako polrok
Napriek tvrdeniam, že Munson Healthcare berie svoju kybernetickú bezpečnosť a ochranu dát vážne, informácie o útoku zdieľal so svojimi pacientmi až po viac ako polroku od jeho odhalenia. Podľa miestnych novín Cadillac News si spoločnosť zavolala na vyšetrovanie incidentu externú službu už prvý augustový týždeň. Výsledky následne obdržala 16. januára nového roku.
Otten pre noviny tiež potvrdil, že útočník prenikol do účtov 29 zamestnancov a ohrozil stovky až tisícky pacientov. Spoločnosť však zamestnancov nepotrestala a namiesto toho ich poslala na ďalšie školenia. Na otázku prečo sa v e-mailovej komunikácií nachádzalo toľko citlivých informácií Otten odpovedal, že vzhľadom na množstvo zariadení, ktoré prevádzkujú, predstavujú e-maily užitočný nástroj na komunikáciu.
Rovnaký scenár v Minnesote
Začiatkom roka varovala svojich pacientov o možnom úniku lekárskych záznamov aj nemocnica Alomere Health z minnesotskej Alexandrie. Podľa jej zistení prenikla neznáma osoba začiatkom novembra minulého roku do dvoch e-mailových účtov jej zamestnancov. Správy a prílohy pritom obsahovali mená pacientov, ich adresy, dátumy narodenia, čísla lekárskych záznamov a informácie o zdravotnom poistení, diagnóze či liečbe.
Zdroj: Cybersec