Persoonlijke data van 13.000 patiënten op straat door phishing-aanval | Phishingtest.nlBaystate Health, een systeem voor de gezondheidszorg, is slachtoffer van een cyberaanval. Mogelijk zijn de persoonlijke gegevens van 13.000 patiënten blootgesteld. 

Op 22 augustus achterhaalde Baystate Health, gevestigd in Springfield, Massachusetts, dat er een phishingmail was verstuurd naar een aantal van hun medewerkers. Doordat vijf medewerkers op de malafide link hadden geklikt, hadden de hackers toegang tot deze e-mailaccounts. Deze medewerkers hadden niet door dat het om een phishingmail ging, omdat de e-mail eruit zag als een interne Baystate Health memo.

Persoonlijke data buitgemaakt

Na de ontdekking werd er een onderzoek gestart. De hackers konden alle informatie inzien in de e-mailaccounts van de vijf geïnfecteerde medewerkers. Sommige e-mails bevatten patiëntinformatie, waaronder namen, geboortedata, diagnoses, de ontvangen zorg, medische nummer en in sommige gevallen ook het identificatienummer voor de ziektekostenverzekering. Gelukkig hebben de hackers via deze e-mailaccounts geen Burgerservicenummers, creditcardnummers of andere financiële informatie gevonden. Ook zijn er geen medische dossiers van patiënten ingezien. De systemen met de elektronische medische dossiers zijn ook niet beïnvloed, blijkt uit het onderzoek.

Nazorg

Pas twee maanden na datum meldde Baystate Health het lek. Ze informeerden de betrokkenen middels een brief. “Baystate Health is toegewijd aan het beschermen van persoonlijke informatie en neemt deze infectie dan ook zeer serieus. Om in de toekomst een soortgelijke infectie te voorkomen, vergroten we het bewustzijn van onze medewerkers met een training over phishingmails’’, aldus Baystate Health.

Medische sector doelgroep van criminelen

Uit het Cyber Security Beeld Nederland 2015 werd al geconstateerd dat cybercriminelen zich (meer) gaan richten op organisaties en instellingen in de medische sector. De reden hierachter is dat ze gemakkelijk de Burgerservicenummers, geboortedata en medische informatie kunnen achterhalen. Hiermee kan de crimineel niet alleen financiële fraude plegen, maar ook zorgverzekeringsfraude. In 2015 waren deze aanvallen niet waargenomen in Nederland, maar sinds 2016 komen deze aanvallen ook in Nederland op gang te komen.

Bevindingen

Wat deden ze goed?

  • Bij het ontdekken van het lek is er gelijk een onderzoek gestart.
  • Nadat er meer informatie was, heeft de instantie de patiënten geïnformeerd.
  • De hackers kwamen niet verder dan de e-mailaccounts.
  • Ze gaan het bewustzijn omtrent phishing verbeteren.

Wat kan beter?

  • Preventief bewustmaken van medewerkers. Dus niet pas wanneer er een infectie heeft plaatsgevonden.
  • Gelijk patiënten informeren (al is het maar met: er is informatie gelekt, we starten nu een onderzoek, we komen later met meer informatie).

 

Bron: CSBN 2015, CSBN 2016, Healthcare Informatics

 

Persoonlijke data van 13.000 patiënten op straat door phishing-aanval

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *