Ohio Medicaid meldet Datenleck bei Anbietern und andere Verstöße gegen Gesundheitsdaten

Quelle: Getty Images

Von Jill McKeon

22. Juni 2021 – Datenschutzverletzungen und Ransomware-Angriffe haben in den letzten Monaten verheerende Schäden im Gesundheitswesen angerichtet. Millionen von Patienten erhielten von ihren Gesundheitsdienstleistern die Mitteilung, dass ihre persönlichen Daten in den Händen von Kriminellen offengelegt wurden.

Die jüngsten Leitlinien des National Institute of Standards and Technology (NIST) zielen mit dem Entwurf des „Cybersecurity Framework Profile for Ransomware Risk Management“ darauf ab, Gesundheitsdienstleistern dabei zu helfen, Cybersicherheitsrisiken zu mindern. Trotz zunehmender staatlicher Vorgaben nehmen Cyberangriffe stetig zu.

In einem aktuellen Artikel im Wall Street Journal heißt es, dass Ryuk, eine osteuropäische Hacker-Organisation, mindestens 235 Gesundheitseinrichtungen angegriffen hat, ihnen gleichzeitig über 100 Millionen US-Dollar einbrachte und zu EHR-Ausfällen und Verzögerungen bei der Patientenversorgung führte.

Zu den weiteren jüngsten Datenschutzverstößen im Gesundheitswesen zählen die Offenlegung von über 1 Milliarde CVS Health-Suchdatensätzen und ein Ransomware-Angriff auf St. Joseph's/Candler in Georgia, der zu erheblichen Ausfallzeiten der EHR führte.

Ohio Medicaid sagte am Montag, dass es bei seinem Datenmanager Maximus irgendwann zwischen dem 17. und 19. Mai zu einem Cybersicherheitsvorfall gekommen sei, bei dem möglicherweise Namen, Sozialversicherungsnummern und Adressen von Anbietern offengelegt wurden, so die lokale Nachrichtenagentur Dayton Daily News.

MEHR LESEN:Insight Global ruft ehemalige Mitarbeiter auf, sich gegen PII-Datenverstöße zu schützen

Eine unbekannte Partei hat ohne Genehmigung auf eine Anwendung zugegriffen, die Zugangs- und Lizenzdaten von Ohio Medicaid enthält. Medicaid-Teilnehmer waren von dem Verstoß nicht betroffen und andere Kunden oder Server von Maximus waren davon nicht betroffen. Dem Bericht zufolge gibt es keine Anzeichen dafür, dass die Informationen missbräuchlich verwendet wurden.

Maximus schickte am 18. Juni Briefe an die betroffenen Anbieter. Laut Dayton Daily News sagte Maximus in einer Erklärung, dass es „die betroffene Anwendung umgehend offline genommen, eine Untersuchung bei einem führenden Cybersicherheitsunternehmen eingeleitet, Reaktionsprotokolle aktiviert und die Strafverfolgungsbehörden benachrichtigt hat“.

„Da die unbefugte Aktivität in einem sehr frühen Stadium erkannt wurde, ist Maximus davon überzeugt, dass unsere schnelle Reaktion die potenziell nachteiligen Auswirkungen begrenzt hat.“

Maximus, einer der weltweit größten Auftragnehmer für staatliche Gesundheitsdatendienste, erklärte, dass Anbieter, deren Daten möglicherweise offengelegt wurden, zwei Jahre lang Kreditüberwachungsdienste erhalten.

Ein kürzlich gemeldeter CaptureRx-Ransomware-Angriff betraf mindestens 17 Gesundheitsorganisationen und führte im Februar zu unbefugtem Dateizugriff. Das Unternehmen unterstützt Krankenhäuser bei der Verwaltung ihres 340B-Arzneimittelprogramms und ermöglicht es Patienten, Rezepte zu geringeren Kosten zu erhalten. Es wurde auf Patientendateien zugegriffen, die Geburtsdaten, Namen und Verschreibungsinformationen enthielten.

MEHR LESEN:CVS Health steht vor Datenschutzverstoß, 1 Milliarde Suchdatensätze offengelegt

Zuletzt wurde Catholic Health in Buffalo, New York, darüber informiert, dass Patienten aus den Krankenhäusern Mount St. Mary's und Sisters of Charity von der CaptureRx-Sicherheitsverletzung betroffen waren. Laut der lokalen Nachrichtenagentur WKBW gab Catholic Health an, dass demografische Daten, Bankkontoinformationen und Sozialversicherungsnummern nicht in den Verstoß einbezogen wurden.

„Wir unternehmen große Anstrengungen, um die Privatsphäre unserer Patienten und alle Informationen im Zusammenhang mit ihrer Pflege zu schützen“, sagte Kimberly Whistler, Corporate Compliance & Privacy Officer bei Catholic Health, gegenüber WXBW.

„Alle Patienten, deren Namen und Informationen betroffen waren, werden nächste Woche von CaptureRx benachrichtigt. Da der Verstoß keine Finanzinformationen betraf, gehen wir davon aus, dass er nur ein geringes Risiko für die Patienten darstellt. Als Vorsichtsmaßnahme ist es jedoch immer ratsam, Ihre Konten und Daten zu überwachen Bonitätsinformationen und melden Sie verdächtige Aktivitäten oder vermuteten Identitätsdiebstahl den zuständigen Behörden.

Die Fruchtbarkeitsklinik Reproductive Biology Associates in Georgia gab zusammen mit ihrer Tochtergesellschaft My Egg Bank North America bekannt, dass im April etwa 38.000 Patienten von einem Ransomware-Angriff betroffen waren.

In einer Mitteilung ihres General Counsel Matthew Maruca, Reproductive Biology Associates und My Egg Bank North America, heißt es: „Wir wurden erstmals am 16. April 2021 auf einen möglichen Datenvorfall aufmerksam, als wir entdeckten, dass ein Dateiserver mit Embryologiedaten verschlüsselt war und daher.“ nicht zugänglich."

MEHR LESEN:St. Joseph's/Candler erleidet Ransomware-Angriff und EHR-Ausfall

Nachdem festgestellt wurde, dass der Verstoß auf Ransomware zurückzuführen war, wurde der Server noch am selben Tag heruntergefahren. In der Mitteilung hieß es, dass sich der Akteur am 7. April 2021 und erneut am 10. April Zugang zum System verschafft habe.

Bis zum 7. Juni konnte die Organisation die betroffenen Personen ausfindig machen und wieder Zugriff auf verschlüsselte Dateien erhalten. Darüber hinaus erhielt es vom Akteur die Bestätigung, dass alle Daten gelöscht wurden. Die Ermittlungen dauern noch an, der Rechtsbeistand erklärte jedoch in der Mitteilung, dass möglicherweise Laborergebnisse, vollständige Namen, Adressen, Sozialversicherungsnummern und Informationen zu menschlichem Gewebe offengelegt worden seien.

„Aufgrund dieses Vorfalls haben wir eine Untersuchung durch ein führendes professionelles IT-Dienstleistungsunternehmen eingeleitet, um Befragungen durchzuführen und forensische Daten im Zusammenhang mit dem Vorfall zu analysieren. Insbesondere haben wir Geräteverfolgung und -überwachung eingesetzt, um dabei zu helfen, das Ausmaß des Vorfalls einzudämmen und zu untersuchen.“ Vorfall, sowie forensische Analysen durchgeführt, um das Ausmaß des Vorfalls zu verstehen“, heißt es in der Mitteilung.

Darüber hinaus hat die Klinik Cybersicherheitsschulungen für das Personal durchgeführt und interne Kontrollen hinzugefügt, um künftige Angriffe zu verhindern, darunter „die Zusammenarbeit mit einem Cybersicherheitsdienstleister, um die vom Akteur ergriffenen Maßnahmen zu beheben und unsere Systeme wiederherzustellen, die Infrastruktur zu aktualisieren, zu patchen und in einigen Fällen die Infrastruktur zu ersetzen“. auf die neuesten Versionen aktualisieren, Kennwortzurücksetzungen für entsprechende Benutzer bereitstellen, betroffene Systeme neu erstellen und erweiterten Viren- und Malware-Schutz bereitstellen.“