Ransomware-Angriffe im Gesundheitswesen: Oklahoma Gesundheitssystem getrieben zu EHR Ausfallzeiten

Cyber Security News

Das Stillwater Medical Center wurde am 13. Juni von einem Ransomware-Angriff getroffen und befindet sich derzeit in einer EHR-Ausfallzeit, während es versucht, seine Systeme wieder online zu bringen. (Stillwater Medical Center)

Das Stillwater Medical Center wurde am 13. Juni von einem Ransomware-Angriff getroffen und arbeitet derzeit unter Ausfall der elektronischen Gesundheitsakte, während es versucht, seine Systeme wieder online zu bringen. Das Gesundheitssystem betreibt eine Reihe von Pflegestellen, Facharztpraxen, Krankenhäusern und Kliniken in Oklahoma.

Nach Angaben des Gesundheitsdienstleisters hat das IT-Team schnell gehandelt, um die Sicherheit der Umgebung zu gewährleisten, nachdem der Vorfall den Zugriff auf bestimmte Systeme beeinträchtigt hat. Nach der Entdeckung des Vorfalls kontaktierten die Mitarbeiter die Strafverfolgungsbehörden und beauftragten eine Computerforensik-Firma mit der Unterstützung bei der Wiederherstellung.

In der unmittelbaren Folge des Angriffs kam es in Stillwater zu erheblichen Störungen der Telefonsysteme, und die Patienten wurden aufgefordert, im Notfall 911 anzurufen. In den sozialen Medien wurde berichtet, dass das Online-Patientenportal, die App und das E-Mail-System ebenfalls von dem Vorfall betroffen waren.

Die Patientenversorgung wird weiterhin angeboten, aber einige Termine wurden abgesagt und werden neu geplant. Das letzte Update vom 15. Juni zeigt, dass der Telefondienst im gesamten Gesundheitssystem weiterhin nur sporadisch funktioniert.

Der Vorfall ist der jüngste in einer Reihe von Angriffen auf Organisationen im Gesundheitswesen. Hier ist das Neueste über einige der jüngsten.

UF Health bleibt offline, zwei Wochen nach Cyberangriff

Der Vorfall in Stillwater weist Parallelen zu dem Cyberangriff auf zwei Krankenhäuser der University of Florida Health vor zwei Wochen auf. Das Villages Regional Hospital und das Leesburg Hospital wurden nach einem mutmaßlichen Ransomware-Angriff am 31. Mai unter Ausfallverfahren betrieben.

The Villages ist eine der größten US-Rentnergemeinschaften mit über 130.000 Einwohnern.

Der Cyberangriff verursachte ungewöhnliche Aktivitäten auf den Computersystemen und veranlasste das IT-Personal, mehrere IT-Systeme schnell herunterzufahren, um Patientendaten zu schützen und die Ausbreitung zu verlangsamen.

Die IT-Teams beider Krankenhäuser arbeiten gemeinsam an der Untersuchung und Wiederherstellung. Das Team hat auch den Zugriff auf Systemplattformen ausgesetzt, einschließlich der Kommunikationsleitungen zwischen allen UF Health-Krankenhäusern und dem Campus der University of Florida.

Seit dem Angriff dokumentieren die Kliniker die gesamte Patientenversorgung mit Stift- und Papierverfahren.

Das letzte Update von der lokalen Nachrichtenstelle WESH 2 zeigt, dass die Krankenhäuser weiterhin unter EHR-Ausfallverfahren arbeiten, und einige Mitarbeiter sind besorgt, dass der Cyberangriff die Patientenversorgung negativ beeinflusst.

Ein Mitarbeiter berichtete, dass die Kliniker ohne EHR-Zugang nicht in der Lage sind, Allergien der Patienten oder potenzielle Medikamente, die vermieden werden sollen, zu überprüfen. Andere Kliniker berichteten, dass die Systemausfälle dazu geführt haben, dass Patienten entweder Medikamente verpasst oder ein falsches Rezept erhalten haben.

Das Krankenhauspersonal ruft direkt bei den Apotheken an, um die Verschreibungshistorie der Patienten zu überprüfen. Es gab auch Berichte, dass das Personal versehentlich Patienten mit der falschen Laborkarte zugeordnet hat. Die Ausfälle haben auch zu langen Verzögerungen beim Erhalt von Laborberichten geführt.

Im Moment setzen die IT-Teams von UF Health ihre Versuche fort, die Systeme offline zu bringen. Wie lange der Prozess dauern wird, ist noch nicht bekannt.

Irland HSE Ransomware-Vorfall: Monatelange Wiederherstellungsbemühungen gehen weiter

Die irische Gesundheitsbehörde Health Service Executive (HSE), das öffentliche Gesundheitssystem des Landes, versucht immer noch, ihre Systeme wieder online zu bringen, nachdem ein “signifikanter Ransomware-Angriff” ihr Netzwerk am 14. Mai lahmgelegt hat.

Das letzte Update um 10 Uhr ET am 16. Juni zeigt, dass die HSE die Patienten weiterhin bittet, ihre Gesundheitsinformationen mit in die Notaufnahme zu bringen, wie z. B. die Nummern der Krankenakte oder der Patientenkartei, eine Liste der Medikamente und alle früheren Entlassungsberichte, um das Pflegepersonal zu unterstützen.

Der Angriff wird der berüchtigten Conti-Hackergruppe zugeschrieben, die es im letzten Jahr gezielt auf das Gesundheitswesen abgesehen hat, während die Branche gegen die Pandemie kämpfte. Die Angreifer haben Unmengen von Daten aus dem Gesundheitswesen von mehreren Einrichtungen des Gesundheitswesens entsorgt, die mit diesen Angriffen in Verbindung stehen.

Der Cyberangriff hat in der gesamten Ireland East Hospital Group zu massiven IT-Problemen geführt, so dass die HSE Patienten anweist, sich nur bei lebensbedrohlichen Zuständen in der Notaufnahme zu melden. Die Patientenversorgung wurde während des Ereignisses und der Wiederherstellungsbemühungen fortgesetzt, aber einige ambulante Termine wurden abgesagt. Nicht dringende Patienten wurden darauf hingewiesen, dass sie mit langen Verzögerungen rechnen müssen.

Die Abteilungen für Radiologie und medizinische Bildgebung scheinen an allen Standorten am stärksten von dem Angriff betroffen gewesen zu sein. Unmittelbar nach dem Angriff wurden die Termine für diese Abteilungen abgesagt.

Ein internes Memo von Anfang dieser Woche zeigt, dass die Genesung gut vorangeschritten ist und die Aktivitäten in den meisten Abteilungen zugenommen haben.

“Ungeachtet der beträchtlichen technischen Erholung und der verbesserten Betriebskapazität ist es offensichtlich, dass die Informations- und Kommunikationstechnologie (IKT) und die klinischen Kommunikationssysteme hinter dem zurückbleiben, was erforderlich ist, um sicher zu arbeiten und die Pflege auf einem akzeptablen Risikoniveau zu liefern”, erklärte der Chief Clinical Officer der HSE, Colm Henry, MD, den Mitarbeitern.

“In den meisten Fällen gibt es weiterhin Umgehungslösungen”, fügte er hinzu. “Wichtige IKT-Systeme wie NIMIS, Apex und ICM wurden wiederhergestellt, aber nicht auf dem Niveau, das für eine Systemintegration und nahtlose klinische Kommunikation erforderlich ist. Es bleibt der Fall, dass die Wiederherstellung von ICT-Systemen nicht gleichbedeutend mit der Wiederherstellung von Diensten ist.”

Die HSE priorisiert die Wiederherstellung nach Risiko und klinischem Bedarf, aber die IKT-Wiederherstellung ist “lückenhaft und inkonsistent”, und der Internetzugang wurde nicht wiederhergestellt.

Der CCO wies auch darauf hin, dass Radiologen immer noch für Bereitschaftsschichten vor Ort sein müssen, betonte aber gleichzeitig, dass er Verständnis dafür hat, dass die Situation das Personal belastet.

Das IT-Team ist derzeit damit beschäftigt, Rückstände hochzuladen und die Patientendaten abzugleichen. Während das Team daran arbeitet, die Systeme zu durchsuchen, zu säubern und wiederherzustellen, haben sie in einigen Fällen festgestellt, dass bestimmte Systeme und Geräte nicht mehr zu reparieren sind.

“Geplante Pflege hat, [by] Notwendigkeit, jetzt in Krankenhäusern wieder aufgenommen. Die Erholung in den kommunalen Diensten war langsamer, und dies stellt eine Belastung für Elemente des Versorgungspfads dar. Während das Niveau und das Tempo der Erholung variabel bleibt, bin ich dankbar für Ihre gemeinsame Geduld und Zusammenarbeit”, schloss Henry.

Die HSE war ein Vorbild an Transparenz und nutzte ihren Social-Media-Account, um häufig und detailliert über die anhaltenden Netzwerkausfälle und Versorgungsunterbrechungen zu informieren. Oft sind Gesundheitsdienstleister dafür bekannt, dass sie nach einer Sicherheitsverletzung oder einem Sicherheitsvorfall nur vage mit der Öffentlichkeit kommunizieren.

Emsisoft stellte HSE einen kostenlosen Entschlüsseler zur Verfügung, anstelle des von den Angreifern bereitgestellten, und das Gesundheitssystem hat mit Regierungsbehörden und dem privaten Sektor zusammengearbeitet, um die Auswirkungen des Angriffs zu beheben.

Das neuseeländische Waikato DHB bleibt auch einen Monat nach dem Angriff in der EHR Downtime

Mehr als einen Monat nachdem ein Ransomware-Angriff mehrere Krankenhäuser des Waikato District Health Board (DHB) in Neuseeland getroffen hat, versucht das IT-Team immer noch, eine Reihe von Diensten wieder online zu bringen, berichtet die lokale Nachrichtenagentur Otago Daily Times.

Kliniker arbeiten weiterhin mit EHR-Ausfallverfahren und verwenden Stift und Papier, um Patienteninteraktionen zu erfassen. Die DHB stellte Hunderte von zusätzlichen IT-Mitarbeitern ein, um die Wiederherstellungsbemühungen zu unterstützen, da die Beamten sich weigerten, die Forderungen der Angreifer zu bezahlen.

Infolgedessen konnte das Team etwa 20 Prozent des Workstation-Netzwerks und mehr als die Hälfte der Server wiederherstellen.

Der DHB-Angriff erfolgte einige Tage nach dem HSE-Sicherheitsvorfall in Irland und hatte ähnliche Folgen: größere IT-Ausfälle, unterbrochene Telefonleitungen und Ausfälle von Computersystemen. Alle klinischen Systeme und IT-Dienste, mit Ausnahme von E-Mail, wurden durch den Angriff unterbrochen.

Berichte von Klinikern und Mitarbeitern vor Ort zeigten, dass der Cyberangriff in den betroffenen Krankenhäusern ein Chaos verursachte. Anbieter waren nicht in der Lage, Röntgenbilder zwischen Abteilungen zu versenden, auf Patientennotizen zuzugreifen oder Patientenakten einzusehen.

In der unmittelbaren Folge des Angriffs wurde die Öffentlichkeit aufgefordert, die Notaufnahmen nicht aufzusuchen, es sei denn, es handelte sich um einen lebensrettenden Vorfall, und elektive Operationen wurden verschoben. Nicht-Notfallpatienten wurden in nahegelegene Pflegeeinrichtungen umgeleitet.

Das letzte Update zeigt, dass die DHB in der Lage war, zwei von vier Strahlentherapie-Geräten wieder in Betrieb zu nehmen, wodurch die Behandlungen für diese Patienten wieder aufgenommen werden konnten. Die DHB-Führung nannte die Wiederherstellung einen “wichtigen Meilenstein”.

Die DHB hat auch den Zugang zu mehreren anderen Systemen wiederhergestellt, darunter die Kommunikationsleitungen, einige Computeranwendungen und E-Mail-Konten. Die Führung hat die Wiederherstellung der Strahlen-, Labor-, Radiologie- und Patientenverwaltungssysteme als vorrangig eingestuft.

Es gibt jedoch noch viel zu tun, um die verbleibenden Systeme wiederherzustellen, da die DHB Hunderte von Servern, mehrere Netzwerkstandorte und Tausende von Workstations und mobilen Geräten einsetzt.

Die DHB arbeitet weiterhin mit einem externen, spezialisierten Dienstleistungsunternehmen zusammen, um jedes Gerät und System zu sichern und zu testen, bevor die Technik sicher wieder online gebracht wird. Der Zeitplan für die vollständige Wiederherstellung ist noch unbekannt.

Anhaltende Ransomware-Welle

Der Gesundheitssektor befindet sich inmitten einer weiteren Ransomware-Welle, nachdem das FBI bereits im Herbst 2020 einen Ansturm von Angriffen und EHR-Ausfällen untersucht hat. Aktuelle Daten von Check Point zeigen, dass Provider-Organisationen weiterhin ein Hauptziel für ruchlose Akteure sind.

Seit April haben die Forscher beobachtet, dass durchschnittlich 1.000 Einrichtungen pro Woche von Ransomware-Angriffen betroffen sind, was einem Anstieg von 21 Prozent im ersten Trimester 2021 und einem Anstieg von sieben Prozent im April entspricht. Diese Angriffe zeigen keine Anzeichen einer Verlangsamung.

In der ersten Hälfte des Jahres 2021 haben Ransomware-Angriffe bisher das Netzwerk mehrerer Anbieter zum Erliegen gebracht, darunter Scripps Health, das Rehoboth McKinley Christian Hospital in Gallup, New Mexico, das Cochise Eye and Laser in Arizona, St. Margaret’s Health-Spring Valley und Allergy Partners in North Carolina, um nur einige zu nennen.

Nach Schätzungen von Coveware verursachen Ransomware-Angriffe im Durchschnitt etwa 15 Tage EHR-Ausfallzeit.

Als Erinnerung für Einrichtungen des Gesundheitswesens hat Emsisoft bereits angeboten, kostenlose Unterstützung bei der Wiederherstellung von Ransomware inmitten der Pandemie-Reaktion und angesichts der gezielten Angriffe zu leisten.

Anbieter sollten auch die Ransomware-Ressourcen der Cybersecurity and Infrastructure Security Agency des Department of Homeland Security und des NIST prüfen, um sicherzustellen, dass sie Best-Practice-Verteidigungs- und Abschwächungsmaßnahmen eingesetzt haben.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com