image

Patiëntendossiers VS al maanden onbruikbaar door ransomware

donderdag 29 december 2016, 09:33 door Redactie, 10 reacties

De patiëntendossiers van een Amerikaanse kliniek zijn al maanden onbruikbaar nadat de server waarop de bestanden staan door ransomware werd versleuteld. De server van Desert Care in het Amerikaanse Arizona raakte in augustus van dit jaar door ransomware besmet.

Dat heeft de kliniek pas deze maand in een brief aan patiënten bekendgemaakt. Op de server stonden namen, geboortedata, adresgegevens, diagnoses, behandelinformatie en andere gegevens van 500 patiënten, zo blijk uit een melding die op 20 december bij het Amerikaanse ministerie van Gezondheid werd gedaan. De kliniek weet niet of de ransomware de gegevens alleen heeft versleuteld, of dat die ook zijn gestolen.

Desert Care zegt zowel de lokale politie als de FBI te hebben gewaarschuwd. Daarnaast is de server naar verschillende it-specialisten gebracht. "Maar die konden de encryptie van de ransomware niet kraken. Daardoor blijft de server vergrendeld door de ransomware en zijn de patiëntendossiers ontoegankelijk", aldus de brief aan patiënten (pdf). Die krijgen het advies hun afschriften te controleren en een bedrijf in te schakelen dat hun krediet monitort.

Reacties (10)
29-12-2016, 10:17 door Anoniem
Even je gezond verstand gebruiken:

1. Backup terug zetten, al dan niet op een nieuwe machine, zodat klanten weer bij hun data kunnen komen.
2. Niet persoons-gevoelige data willen opslaan op een machine die met het internet verbonden is of waar medewerkers zelf software op mogen installeren. Verspreid data over meerdere machines. bv geen bank/credit card gegevens bij patient gegevens, of persoons gegevens opslaan op dezelfde machine.Verminder je kwetsbaarheid.
3. Niet 4 maanden wachten voordat je je klanten/patienten informeert dat ze hun afschriften in de gaten moeten houden en dat ze een bedrijf moeten inhuren. (Betaalt de kliniek deze kosten?)
4. Niet meerdere maanden wachten voordat je het ministerie hierover informeert. Hoe lang heeft het geduurd voordat politie en FBI erbij betrokken waren. Ook maanden?
29-12-2016, 10:24 door Anoniem
Dit is toch weer te treurig om waar te zijn, blijkbaar geen backup.
29-12-2016, 11:09 door Anoniem
En het klinkt alsof er geen backups zijn, dan wel dat de backups op dezelfde server stond en nu ook ge-encrypt zijn. Laten we vooral zo doorgaan met alles maar digitaliseren.

En het is best grof dat de patient dus zelf maar zijn/haar gegevens in de gaten moeten houden, en een bedrijf in de handen nemen op eigen kosten.

Ik blijf herhalen, geef 1000 euro boete per dossier. Pas dan zullen bedrijven dus nadenken over goede beveiliging, maar ook backups. Voor die 500.000 euro kun je best een backup server aanschaffen en betere beveiliging.

TheYOSH
29-12-2016, 12:19 door karma4
Backup?
29-12-2016, 18:35 door Anoniem
..... Die krijgen het advies hun afschriften te controleren en een bedrijf in te schakelen dat hun krediet monitort.

Een dergelijk krediet monitoring bedrijf is, helaas, vrij normaal ni de VS. De grap is wel dat in dit geval het ziekenhuis verantwoordelijk is voor het goed bewaren van zijn data en men zal, zeker in de VS, de kosten verhalen op het ziekenhuis.
In dit geval gaan patienten klagen over risico's van ID diefstal met als gevolg dat het ziekenhuis 1 tot 2 jaar krediet monitoring aanbiedt ter compensatie.
29-12-2016, 18:52 door Anoniem
Zorg dat mensen ook zelf hun dossier hebben, op USB stick of SD card. Kun je als ziekenhuis altijd nog een brief sturen naar de betreffende patiënten met het verzoek hun medische gegevens opnieuw aan het ziekenhuis te verstrekken.

Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) Dat kan ook handig zijn als iemand in een noodsituatie een behandeling in een ander ziekenhuis nodig heeft, de patiënt kan dan zelf zijn/haar gegevens verstrekken. En het is een extra backup. Een ideetje misschien?
29-12-2016, 21:06 door karma4
Door Anoniem: ...
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) ....
Onderhuids aanbrengen als chipping? Misschien komt dat nog eens zover. Eerdere posts over zoiets gaven een boel reacties als privacy issues. Draadloze communicatie wifi blue tooth en anderen kijken mee.
30-12-2016, 08:58 door Anoniem
Door karma4:
Door Anoniem: ...
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) ....
Onderhuids aanbrengen als chipping? Misschien komt dat nog eens zover. Eerdere posts over zoiets gaven een boel reacties als privacy issues. Draadloze communicatie wifi blue tooth en anderen kijken mee.

Zet er encryptie op met een offline verificatiemiddel. Voor mij part je eID oid.
01-01-2017, 10:39 door Lex Borger
Even relativeren: Dit is een huisartsenpraktijk (primary care), geen ziekenhuis. MKB dus. Nergens is gezegd dat er financiële info weg is.

Hoe fout ook, dit scenario kan zich bij vele kleine praktijken afspelen.
Deze praktijk heeft maanden geprobeerd de schade te herstellen en moet nu wel hun patienten een brief sturen.
De lokale pers maakt zich nergens druk over, alleen wij in NL staan klaar met ons vingertje. De doktoren zullen de autoriteten het een en ander moeten uitleggen, uiteraard.

De enige remedie is dit soort scenarios gebruiken om duidelijk te maken dat dit soort kleine partijen niet zelf hun IT moeten doen. Tegelijkertijd is hier nog geen duidelijke markt voor. Geen wonder dat ze door blijven modderen met een server in de bezemkast.
01-01-2017, 19:05 door karma4
Door Lex Borger: Even relativeren: Dit is een huisartsenpraktijk (primary care), geen ziekenhuis. MKB dus. Nergens is gezegd dat er financiële info weg is.
....
Sterk opgemerkt Lex. Met je opmerking dat kleine partijen de ICT niet zelf moeten doen.....
Er is al een markt voor dat soort specialistische software in nl.
Bij de huisartsen vereniging zijn entries te vinden voor standaarden waaraan de software moet voldoen.
De huisartsen zelf worden als publiek meer leken gezien. Recente ook bij de eigen praktijk een overgang naar vermoedelijke cloudinvulling gezien voor afspraken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.