Patiëntendossiers VS al maanden onbruikbaar door ransomware
De patiëntendossiers van een Amerikaanse kliniek zijn al maanden onbruikbaar nadat de server waarop de bestanden staan door ransomware werd versleuteld. De server van Desert Care in het Amerikaanse Arizona raakte in augustus van dit jaar door ransomware besmet.
Dat heeft de kliniek pas deze maand in een brief aan patiënten bekendgemaakt. Op de server stonden namen, geboortedata, adresgegevens, diagnoses, behandelinformatie en andere gegevens van 500 patiënten, zo blijk uit een melding die op 20 december bij het Amerikaanse ministerie van Gezondheid werd gedaan. De kliniek weet niet of de ransomware de gegevens alleen heeft versleuteld, of dat die ook zijn gestolen.
Desert Care zegt zowel de lokale politie als de FBI te hebben gewaarschuwd. Daarnaast is de server naar verschillende it-specialisten gebracht. "Maar die konden de encryptie van de ransomware niet kraken. Daardoor blijft de server vergrendeld door de ransomware en zijn de patiëntendossiers ontoegankelijk", aldus de brief aan patiënten (pdf). Die krijgen het advies hun afschriften te controleren en een bedrijf in te schakelen dat hun krediet monitort.
1. Backup terug zetten, al dan niet op een nieuwe machine, zodat klanten weer bij hun data kunnen komen.
2. Niet persoons-gevoelige data willen opslaan op een machine die met het internet verbonden is of waar medewerkers zelf software op mogen installeren. Verspreid data over meerdere machines. bv geen bank/credit card gegevens bij patient gegevens, of persoons gegevens opslaan op dezelfde machine.Verminder je kwetsbaarheid.
3. Niet 4 maanden wachten voordat je je klanten/patienten informeert dat ze hun afschriften in de gaten moeten houden en dat ze een bedrijf moeten inhuren. (Betaalt de kliniek deze kosten?)
4. Niet meerdere maanden wachten voordat je het ministerie hierover informeert. Hoe lang heeft het geduurd voordat politie en FBI erbij betrokken waren. Ook maanden?
En het is best grof dat de patient dus zelf maar zijn/haar gegevens in de gaten moeten houden, en een bedrijf in de handen nemen op eigen kosten.
Ik blijf herhalen, geef 1000 euro boete per dossier. Pas dan zullen bedrijven dus nadenken over goede beveiliging, maar ook backups. Voor die 500.000 euro kun je best een backup server aanschaffen en betere beveiliging.
TheYOSH
Een dergelijk krediet monitoring bedrijf is, helaas, vrij normaal ni de VS. De grap is wel dat in dit geval het ziekenhuis verantwoordelijk is voor het goed bewaren van zijn data en men zal, zeker in de VS, de kosten verhalen op het ziekenhuis.
In dit geval gaan patienten klagen over risico's van ID diefstal met als gevolg dat het ziekenhuis 1 tot 2 jaar krediet monitoring aanbiedt ter compensatie.
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) Dat kan ook handig zijn als iemand in een noodsituatie een behandeling in een ander ziekenhuis nodig heeft, de patiënt kan dan zelf zijn/haar gegevens verstrekken. En het is een extra backup. Een ideetje misschien?
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) ....
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) ....
Zet er encryptie op met een offline verificatiemiddel. Voor mij part je eID oid.
Hoe fout ook, dit scenario kan zich bij vele kleine praktijken afspelen.
Deze praktijk heeft maanden geprobeerd de schade te herstellen en moet nu wel hun patienten een brief sturen.
De lokale pers maakt zich nergens druk over, alleen wij in NL staan klaar met ons vingertje. De doktoren zullen de autoriteten het een en ander moeten uitleggen, uiteraard.
De enige remedie is dit soort scenarios gebruiken om duidelijk te maken dat dit soort kleine partijen niet zelf hun IT moeten doen. Tegelijkertijd is hier nog geen duidelijke markt voor. Geen wonder dat ze door blijven modderen met een server in de bezemkast.
....
Er is al een markt voor dat soort specialistische software in nl.
Bij de huisartsen vereniging zijn entries te vinden voor standaarden waaraan de software moet voldoen.
De huisartsen zelf worden als publiek meer leken gezien. Recente ook bij de eigen praktijk een overgang naar vermoedelijke cloudinvulling gezien voor afspraken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
