Hersteller-Vorfälle führen die 10 größten Datenschutzverletzungen im Gesundheitswesen im Jahr 2021 an

  • Das IT-Hosting-Unternehmen Netgain ist einer von mehreren Anbietern, bei denen es in der ersten Hälfte des Jahres 2021 zu einer Datenschutzverletzung im Gesundheitswesen gekommen ist.(“File:NetGain Technologies.png” von Emily.cedargren ist lizenziert unter CC BY-SA 3.0)

    Im Jahr 2021 haben die 10 größten gemeldeten Datenschutzverletzungen im Gesundheitswesen bisher die geschützten Gesundheitsinformationen von fast 16 Millionen Patienten gefährdet. Das ist allein schon eine erschütternde Statistik, wenn man bedenkt, dass es eine ganze Reihe anderer Sicherheitsvorfälle gab, die mehr als 100.000 Personen betrafen, aber nicht auf der aktuellen Liste stehen.

    Um es in die richtige Perspektive zu rücken: Die Gesamtzahl der gemeldeten Vorfälle in der ersten Jahreshälfte 2020 betrug nur 3,5 Millionen Personen: die gleiche Anzahl an Opfern wie bei den beiden Top-Vorfällen, die in der ersten Jahreshälfte 2021 gemeldet wurden.

    Vielleicht noch beunruhigender ist, dass 60 % der gemeldeten Sicherheitsverletzungen im Jahr 2021 von Anbietern verursacht wurden. Daher sollte das Update zu den Sicherheitsverletzungen zur Jahresmitte als Weckruf für die Branche dienen, Anbieterverträge zu überprüfen und ihre Sicherheitsprozesse zu bewerten.

    Einrichtungen des Gesundheitswesens sollten frühere Richtlinien für die Lieferkette von NIST und der Cybersecurity and Infrastructure Security Agency des Department of Homeland Security lesen, um Einblicke in Best Practices und Fallstudien zu erhalten, die einen Einblick in effektive Prozesse für das Lieferantenmanagement geben. Accellion: über 3,51 Millionen Personen

    Im Februar forderte die CISA alle Unternehmen des privaten Sektors auf, in Alarmbereitschaft zu sein, da Bedrohungsakteure mehrere ungepatchte Schwachstellen in der File Transfer Appliance (FTA) von Accellion ausgenutzt und einen umfangreichen Datensatz gestohlen hatten, um die Opfer zu erpressen.

    Die Bedrohungsakteure verschafften sich zunächst Zugang über mehrere bekannte Zero-Day-Schwachstellen in der älteren FTA von Accellion. Sie nutzten den Zugang, um eine Web-Shell namens DEWMODE zu installieren.

    Zunächst waren die Motive für den Angriff unklar. Aber im Januar begann eine Reihe von Organisationen, Erpressungs-E-Mails von den Angreifern zu erhalten, die damit drohten, die durch den FTA-Exploit gestohlenen Daten zu veröffentlichen. Der Hack wird seitdem der Ransomware-Gruppe Clop zugeschrieben, die dafür berüchtigt ist, den Gesundheitssektor aktiv ins Visier zu nehmen, obwohl dieser von der Pandemie überrollt wird.

    Insgesamt waren mindestens 100 Unternehmen aus allen Branchen von den Erpressungsversuchen betroffen, wobei über den Dark-Web-Blog von Clop Daten von einer Reihe von Opfern in den USA, Kanada, den Niederlanden und Singapur durchsickerten.

    Der Gesundheitssektor war mit am stärksten von diesen Hackerangriffen betroffen:

    • Centene-Tochtergesellschaften: 1,3 Millionen
      • Health Net Community Solutions: 686,556
      • Health Net of California Patienten: 523,709
      • California Health & Wellness: 80.138
      • Health Net Life Insurance Company: 26,637
    • Kroger: 1,5 Millionen
    • Trinity Health: 586,869
    • Trillium Community Health Plan: 50,000
    • Die medizinische Fakultät der Universität von Southern Illinois: 40,330
    • Arizona Complete Health: 34,978
    • Memorial Sloan Kettering Cancer Center: 1,893
    • Danaher
    • Wright Medical Group
    • Steris

    Florida Healthy Kids: 3,5 Millionen Patienten

    Wie im Februar berichtet, hat die Florida Healthy Kids Corporation (FHKC) 3,5 Millionen Online-Antragsteller und -Registrierte über eine sieben Jahre andauernde Datenpanne informiert, die dadurch verursacht wurde, dass ihr Anbieter es versäumt hatte, mehrere Schwachstellen in der Website zu patchen.

    Der Anbieter, Jelly Beans Communications Design, teilte FHKC mit, dass über die von ihm gehostete Website auf Tausende von Bewerberadressen zugegriffen wurde und diese manipuliert wurden. Eine Überprüfung ergab, dass die Website und die nachfolgenden Datenbanken erhebliche Sicherheitslücken aufwiesen, die den erfolgreichen Angriff ab November 2013 ermöglichten.

    Die Untersuchung konnte nicht ausschließen, dass Daten preisgegeben wurden, darunter vollständige Namen, Geburtsdaten, Sozialversicherungsnummern, Finanzinformationen, familiäre Beziehungen und Zweitversicherungsdaten.

    Abgedeckte Unternehmen müssen routinemäßig die Lieferantenbeziehungen und Sicherheitspraktiken überprüfen, um sicherzustellen, dass die Geschäftspartner die vom Health Insurance Portability and Accountability Act geforderten Elemente einhalten.

    Gemäß HIPAA sind betroffene Unternehmen und relevante Geschäftspartner verpflichtet, routinemäßige Risikoanalysen potenzieller Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten durchzuführen, die sich im Besitz des Unternehmens befinden.

    Das Department of Health and Human Services empfiehlt die Verwendung von NIST-Standards, um sicherzustellen, dass relevante Entitäten die HIPAA-Vorschriften einhalten. 20/20 Eye Care Network: 3,3 Millionen Patienten

    Ein Bedrohungsakteur hat sich in einen Cloud-Speicher-Bucket von Amazon Web Services gehackt, der dem 20/20 Eye Care Network, auch bekannt als 20/20 Hearing Care Network, gehört, und auf die geschützten Gesundheitsdaten von 3,3 Millionen Patienten zugegriffen, sie heruntergeladen und möglicherweise gelöscht.

    Der Anbieter wurde Anfang Januar 2021 auf verdächtige Aktivitäten innerhalb seiner Cloud-Speicherumgebung aufmerksam gemacht, woraufhin eine Untersuchung eingeleitet wurde. Das Reaktionsteam konnte nicht abschließend feststellen, auf welche Daten der Hacker zugriff oder sie aus dem Netzwerk entfernte, sondern nur, dass er bestimmte Informationen herunterlud, bevor er sie vollständig zerstörte.

    Die betroffenen Informationen variierten je nach Patient, konnten aber Namen, SSNs, Geburtsdaten, Mitgliedsidentifikationsnummern und oder Krankenversicherungsinformationen enthalten. CaptureRx: 1,7 Mio. Personen

    Ein Ransomware-Angriff auf den HIPAA-Business Associate CaptureRx im Februar kompromittierte die Daten einer langen Liste von Gesundheitsdienstleistern. In der Mitteilung wurde nicht angegeben, wann der Cybervorfall zum ersten Mal entdeckt wurde, sondern nur, dass die Untersuchung am 19. Februar abgeschlossen wurde.

    Die Untersuchung ergab, dass Bedrohungsakteure auf Dateien im Zusammenhang mit den Kunden des Gesundheitswesens zugegriffen und diese exfiltriert haben. Eine Überprüfung der betroffenen Informationen endete am 19. März und ergab, dass die gestohlenen Daten Patientennamen, Geburtsdaten und Rezeptdetails enthielten.

    CaptureRx meldete dem HHS, dass 1,7 Millionen Personen von dem Verstoß betroffen sind:

    • Faxton St. Luke’s Healthcare in New York: 17.655
    • Jordan Valley Community Health Center: 12,000
    • Trinity Twin City Hospital: 9.500
    • Jones Memorial Hospital: 8.962
    • Hudson Headwaters Health Network: 8,100
    • UPMC Cole: 7.376
    • Gifford Health Care in Vermont: 6.777
    • Ascension St. Joseph Hospital: 5.807
    • Brownsville Community Health Center: 4,258
    • Thrifty Drug Stores: 3,958
    • Himmelfahrt St. Agnes: 2.821
    • Penobscot Community Health Care: 2.798
    • Hidalgo Medical Services: 2,179
    • Massena Krankenhaus: 1.897
    • Himmelfahrt Standish: 1.705
    • Our Lady of Lourdes Memorial Hospital: 1.745
    • MetroHealth System
    • Walmart

    Nettogewinn: mehr als 865.000

    Netgain ist ein Cloud-IT-Hosting-, Service- und Lösungsanbieter mit einer Reihe von Kunden aus dem Gesundheitswesen. In der ersten Hälfte des Jahres 2021 begann eine Vielzahl seiner Anbieter damit, Patienten zu benachrichtigen, dass ihre Daten nach einer Reihe von Sicherheitsvorfällen in der Netgain-Umgebung kompromittiert wurden.

    Im September 2020 verschaffte sich ein Angreifer mit gestohlenen Anmeldedaten Zugang zum System von Netgain. Während des Hacks war der Akteur in der Lage, auf Client-Umgebungen vorzudringen, die mit dem System des Anbieters verbunden waren. Der Zugriff ermöglichte den Diebstahl einer erheblichen Menge von Patientendaten.

    Der Hack auf Netgain und angeschlossene Client-Umgebungen blieb mehrere Monate lang unentdeckt, bevor die Angreifer am 3. Dezember 2020 Ransomware auf der Netgain-Umgebung einsetzten. Der Ransomware-Angriff war der Auslöser für die Untersuchung, bei der das anfängliche Hacking und die Exfiltration festgestellt wurden.

    Die gestohlenen Daten variierten je nach Kunde und Patient, konnten aber Patientennamen, SSNs, Geburtsdaten, Kontaktdaten, Führerscheine und Schadensinformationen enthalten, die zur Bestimmung von Diagnosen und medizinischen Bedingungen verwendet werden konnten.

    Die Hacker verlangten von Netgain eine Lösegeldzahlung, die es für die Rückgabe der gestohlenen Informationen leistete. Beamte sagten, sie “erhielten die Zusicherung, dass die Daten gelöscht und vernichtet wurden.”

    Es ist anzumerken, dass Coveware wiederholt festgestellt hat, dass immer mehr Cyberkriminelle “Beweise” fälschen, dass sie gestohlene Daten vernichtet haben, selbst wenn das Opfer die Lösegeldforderung bezahlt hat. Mehrere Hackergruppen haben ihre Opfer nach einer Lösegeldzahlung sogar öffentlich gedopt, wobei einige sogar eine zweite Erpressungszahlung von Opfern fordern, die zuvor für die Löschung gestohlener Daten bezahlt haben, um ein Datenleck zu verhindern.

    Die Anzahl der betroffenen Einrichtungen und Patienten ist nach wie vor unklar. Aber viele wurden den Medien und dem HHS gemeldet, darunter:

    • Health Center Partners of Southern California: 293.516
    • Woodcreek Provider Services: 207,000
    • Allina Health Apple Valley Klinik: 157,939
    • San Diego Familienpflege: 125.500
    • Sandhills Medical Foundation: 39,602
    • SAC Health Systems: 28,128
    • Ramsey County Health Department: 8.700
    • Caravus
    • San Ysidro Gesundheit

    Personal Touch Holding: 753,107

    Die Daten von 753.107 Patienten der Personal Touch Holding (PTH) wurden während eines Ransomware-Angriffs auf ihren Cloud-Hosting-Anbieter, Crossroads Technologies, im Dezember 2020 kompromittiert.

    PTH betreibt 16 Tochtergesellschaften in den USA, wie Personal Home Care, Personal Home Aides und Personal Touch Hospice mit Standorten in Virginia, West Virginia, Massachusetts, Texas, Kentucky, Indiana, New York und anderen. Crossroads hostet die elektronische Patientenakte von PTH.

    Die Ransomware infizierte das Rechenzentrum von Crossroad, das in Pennsylvania gehostet wird, und beeinträchtigte einen Server, der Patientendaten enthielt, darunter Behandlungsinformationen, SSNs, Krankenaktennummern, Versicherungskarten, Nummern von Krankenkassenleistungen und andere sensible Daten. Hendrick Health: 640,436

    Eine der ersten Datenschutzverletzungen im Gesundheitswesen, die in diesem Jahr gemeldet wurden, geht auf einen Sicherheitsvorfall bei Hendrick Health in Texas zurück, einem der Anbieter, die von der Ransomware-Welle im Herbst 2020 betroffen waren.

    Das Hendrick Medical Center und die Hendrick Clinic waren von einem Cyberangriff betroffen, bei dem Kliniker gezwungen waren, ihre elektronischen Gesundheitsakten (EHR) herunterzufahren. Obwohl der Angriff Merkmale von Ransomware aufwies, bestätigten die Verantwortlichen die Ursache des Vorfalls nicht.

    Der Ausfall löste eine Untersuchung aus, die ergab, dass zwischen dem 10. Oktober und dem 9. November einen Monat lang potenziell auf Patientendaten zugegriffen wurde. Die kompromittierten Daten enthielten SSNs, Kontaktdaten, demografische Informationen und begrenzte Daten im Zusammenhang mit der Pflege bei Hendrick Health. Wolfe Klinik: 527.378 Patienten

    Die Daten von 527.378 Patienten wurden im Vorfeld eines Ransomware-Angriffs auf die Wolfe Eye Clinic im Februar gestohlen. Das Sicherheitsteam entdeckte den ersten Hack im Februar, aber die Untersuchung bestätigte aufgrund der Komplexität und des Umfangs des Vorfalls erst im Mai eine Datenverletzung.

    Die Untersuchung ergab, dass während des Hacks auf Patientendaten zugegriffen wurde und diese wahrscheinlich gestohlen wurden, darunter SSNs, Kontaktinformationen, Geburtsdaten und einige medizinische und gesundheitliche Informationen. Bricker & Eckler: 420.532 Patienten

    Bricker and Eckler ist eine in Ohio ansässige Anwaltskanzlei mit mehreren Mandanten aus dem Gesundheitswesen, was der Kanzlei Zugang zu persönlichen und gesundheitlichen Informationen verschafft, die mit der Beauftragung von Mandanten und Rechtsberatungsfunktionen verbunden sind.

    Eine Untersuchung eines Ransomware-Angriffs im Januar ergab, dass Hacker zwischen dem 14. Januar und dem 31. Januar, als die Ransomware eingesetzt wurde, mehrfach auf die internen Systeme der Kanzlei zugegriffen hatten.

    Während des Hacks stahlen die Akteure eine Vielzahl von Daten aus bestimmten Systemen, darunter die Gesundheitsinformationen von 420.532 Patienten. Die Angreifer erlangten außerdem SSNs, Führerscheine, Kontaktinformationen und andere sensible Daten.

    Die Mitteilung zeigt, dass Bricker und Eckler in der Lage waren, “die betroffenen Daten von dem Unbefugten zurückzuholen und Schritte unternommen haben, um die Daten zu löschen.” Auch hier gilt: Sind die Daten erst einmal gestohlen, gibt es keine Garantie dafür, dass die Cyberkriminellen die behaupteten Vereinbarungen einhalten. Health Plan of San Joaquin: 420.000

    In einer stark verzögerten Benachrichtigung über die Sicherheitsverletzung hat Health Plan of San Joaquin im Mai 420.000 Patienten darüber informiert, dass ihre Daten Ende letzten Jahres kompromittiert wurden, nachdem mehrere E-Mail-Konten von Mitarbeitern zwischen dem 26. September 2020 und dem 12. Oktober 2020 für mehrere Wochen gehackt worden waren.

    Erstmals entdeckt am 23. Oktober 2020, loggte sich ein Bedrohungsakteur in mehrere E-Mail-Konten ein und griff auf die darin enthaltenen Informationen zu. Die Konten enthielten Unmengen von Identifikationsdaten, darunter Mitglieder-, Kranken- und Anspruchs-ID-Nummern sowie Führerscheine, von der Regierung ausgestellte IDs und SSNs.

    Bemerkenswerte, laufende Datenexposition über PACS

    Wie erstmals im Jahr 2018 berichtet, gibt eine lange Liste von Gesundheitsdienstleistern unbeabsichtigt Millionen von medizinischen Bildern über ungesicherte Picture Archiving and Communication Systems (PACS) preis.

    Die Systeme werden von vielen abgedeckten Einrichtungen verwendet, um medizinische Bilder zu archivieren und Patientenakten und Bilder mit anderen Anbietern zu teilen. Aber inhärente Fehler in der Technik, einschließlich der Verwendung von Digital Imaging and Communications (DICOM), lassen große Mengen von Patientendaten dem Risiko des Hackens ausgesetzt.

    Die aktuelle Zählung zeigt, dass mindestens 130 US-Gesundheitsdienstleister aktiv Patientendaten über diese Systeme hochladen, die in Echtzeit leicht zugänglich sind.

    Seit dem ersten Bericht von ProPublica hat Dirk Schrader, Global Vice President bei New Net Technologies (NNT), kontinuierlich daran gearbeitet, die Anbieter über die Gefährdung zu informieren und die Branche über diese kritische Bedrohung der Gesundheitsdaten aufzuklären.

    Einige dieser Anbieter wurden informiert und haben inzwischen die Sicherheitslücken geschlossen, darunter Sutter Buttes, Hoboken Radiology und Mendelson Kornblum Orthopedic and Spine Specialists.

    “Jedes System, das mit dem Internet verbunden ist, ob es auf aktuellen Standards basiert oder nicht, wird von Angreifern gescannt”, sagte Schrader kürzlich gegenüber SC Media. “Und wenn es keinen Schutz für diese Systeme gibt, öffnet das das Spielfeld.”

    Angesichts der aktuellen Bedrohungslage ist es ein günstiger Zeitpunkt für Gesundheitsdienstleister, ihre Bestände zu überprüfen und die Integrität aller angeschlossenen Geräte und Systeme sicherzustellen.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com