Het Amerikaanse biotechbedrijf Enzo Biochem betaalt wegens een datalek dat door ransomware werd veroorzaakt, en waarbij de gegevens van 2,4 miljoen patiënten werden gestolen, de Amerikaanse staten New York, Connecticut en New Jersey een bedrag van 4,5 miljoen dollar. Enzo Biochem levert dna-gebaseerde tests voor het detecteren van virale en bacteriële ziektes, waaronder corona en kanker. Het bedrijf werd vorig jaar getroffen door een ransomware-aanval.

Vorig jaar werd het bedrijf slachtoffer van een ransomware-aanval. Volgens procureur-generaal Letitia James van de staat New York had Enzo Biochem persoonsgegevens van patiënten niet goed beveiligd. De aanval was mogelijk doordat de aanvallers de inloggegevens van twee medewerkers in handen kregen. Deze inloggegevens werden door vijf verschillende medewerkers gedeeld en één van de inloggegevens was al meer dan tien jaar niet veranderd.

Nadat de aanvallers toegang tot het netwerk hadden gekregen installeerden ze malware. Het biotechbedrijf merkte de aanval pas een aantal dagen later op, omdat het geen systeem of processen had om op verdachte activiteiten te monitoren. De gestolen patiëntgegevens bestonden uit namen, adresgegevens, geboortedata, telefoonnummers, social-securitynummers en informatie over behandelingen en diagnoses.

Naast het betalen van de 4,5 miljoen dollar moet Enzo Biochem ook een uitgebreid informatiebeveiligingsprogramma implementeren. Tevens moet er beleid en procedures komen om de toegang tot persoonlijke informatie te beperken, moet multifactorauthenticatie voor alle gebruikersaccounts worden toegepast en een wachtwoordbeleid worden uitgerold dat sterke en complexe wachtwoorden verplicht die periodiek worden gewijzigd. Verder moet alle persoonlijke informatie tijdens opslag en transport worden versleuteld, jaarlijks risicoanalyses worden uitgevoerd en een uitgebreid incident response plan voor beveiligingsincidenten worden opgesteld.