Hakerzy ukradli nagie zdjęcia około 600 mężczyzn i kobiet leczonych z powodu nowotworu w szpitalu w Pensylwanii, co jest najnowszym z szybko rosnącej liczby cyberataków na systemy opieki zdrowotnej.
Coraz powszechniejsze są ataki ransomware na szpitale, podczas których hakerzy przechowują jako zakładników delikatne informacje o pacjencie do czasu przekazania przez podmiot znacznej sumy pieniędzy.
W Stanach Zjednoczonych liczba ataków na sektor opieki zdrowotnej wzrosła o 128 procent w ciągu jednego roku, przy czym w 2023 r. zginęło 258 ofiar w porównaniu do 113 w 2022 r.
Ostatnim szpitalem, który padł ofiarą oprogramowania ransomware, była Lehigh Valley Health Network, która niedawno rozstrzygnęła sprawę na kwotę 65 milionów dolarów nałożoną na nią za rzekome zaniedbanie ochrony bardzo wrażliwych informacji o pacjencie, w tym nagich zdjęć pacjentów.
Główną powódką w sprawie, nazywaną jedynie Jane Doe, jest 50-letnia kobieta, której nagie zdjęcia zrobione podczas radioterapii przedostały się do ciemnej sieci, wywołując u niej mieszaninę wściekłości, złości, niepokoju i strachu.
Sieć szpitalna Lehigh Valley padła ofiarą ataku oprogramowania typu ransomware, w wyniku którego prywatne informacje 135 000 pacjentów trafiły do ciemnej sieci
Grupa ransomware BlackCat twierdziła, że jest odpowiedzialna za atak w lutym 2023 r., ale jej zasięg był ograniczony. Szpital podał, że zakres włamania dotyczył jednej praktyki w systemie Lehigh Valley, placówki w hrabstwie Lackawanna.
Jednak ujawniono prywatne dane około 134 000 pacjentów, w tym diagnozy, historię medyczną i nagie zdjęcia setek mężczyzn i kobiet.
Jane Doe nie miała pojęcia, że Lehigh Valley przechowywało jej nagie zdjęcia w swoim systemie komputerowym. O włamaniu dowiedziała się w wiadomościach i zadzwoniła do szpitala, aby upewnić się, że jej informacje są bezpieczne.
Nie wiedziała wtedy, że BlackCat zrobił jej zdjęcia i zdjęcia setek innych osób i umieścił je w Internecie. W pozwie nie określono, dlaczego pacjentom robiono nagie zdjęcia.
Oprócz zdjęć ujawniono dane osobowe pacjentów, numery dokumentacji medycznej, informacje dotyczące leczenia i diagnozy oraz informacje o ubezpieczeniu zdrowotnym.
Niektórzy ujawnili także adresy e-mail, dane bankowe i numery ubezpieczenia społecznego.
Jak wynika z pozwu, fakt, że prywatne informacje Jane Doe zostaną prawdopodobnie wykorzystane w przyszłości do kradzieży tożsamości i oszustwa, spowodował, że doświadczyła ona „uczuć wściekłości, złości, niepokoju, zaburzeń snu, stresu i strachu”.
Rzecznik Lehigh Valley Health powiedział: „Prywatność pacjentów, lekarzy i personelu jest jednym z naszych głównych priorytetów i nadal ulepszamy nasze zabezpieczenia, aby zapobiec incydentom w przyszłości”.
BlackCat, czyli ALPHV, twierdzi, że stoi za kilkoma innymi głośnymi włamaniami do systemów opieki zdrowotnej.
W lutym 2023 r. firma hakerska zaatakowała dział technologiczny UnitedHealth Group, Change Healthcare, który zajmuje się roszczeniami ubezpieczeniowymi. Cyberatak sparaliżował szpitale i małe przychodnie w całym kraju, ponieważ awaria oznaczała, że usługodawcy nie mogli już regulować rachunków pacjentów.
W maju 2024 r. firma Ascension, główny amerykański dostawca usług opieki zdrowotnej, padła ofiarą poważnego ataku oprogramowania typu ransomware powiązanego z grupą cyberprzestępczą Black Basta. Uważa się, że przyczyną ataku był złośliwy plik wysłany w wiadomości e-mail typu phishing, którą kliknął pracownik.
Hakerom udało się uzyskać dostęp do szerokiej gamy prywatnych serwerów zawierających prywatne i chronione informacje zdrowotne. Zakłóciło to dostęp pracowników do dokumentacji pacjentów, spowodowało opóźnienia w procedurach medycznych i skierowanie karetek pogotowia.
W Stanach Zjednoczonych liczba ataków na sektor opieki zdrowotnej wzrosła o 128 procent w ciągu jednego roku, przy czym w 2023 r. zginęło 258 ofiar w porównaniu do 113 w 2022 r.
Ataki ransomware sieją spustoszenie w wybranych systemach opieki zdrowotnej, blokując pracownikom dostęp do krytycznych systemów elektronicznej dokumentacji medycznej, blokując narzędzia do planowania i ingerując w urządzenia medyczne.
Kluczowe dane mogą być niedostępne, co może spowolnić diagnozę lub leczenie i potencjalnie spowodować wzrost współczynnika śmiertelności wewnątrzszpitalnej podczas ataku o 35–41%.
Naruszenia danych w szpitalach są częstsze niż kiedykolwiek. W latach 2016–2021 liczba ataków oprogramowania ransomware wymierzonych w szpitale podwoiła się. Według federalnego nadzoru od 2012 r. ataki te stają się coraz częstsze.
Dane dotyczące zdrowia są głównym celem hakerów, ponieważ zawierają skarbnicę danych osobowych, od historii choroby po informacje o ubezpieczeniach społecznych i kartach kredytowych.
Z pozwu przeciwko Lehigh Valley wynika, że szpital nie zapłacił 5 milionów dolarów okupu za odzyskanie zdjęć i innych poufnych informacji.
Podmiotom z branży opieki zdrowotnej zazwyczaj zaleca się, aby nie płaciły nałożonego na nie okupu, ponieważ może to zachęcić do większej liczby ataków, a pokazuje to cyberprzestępcom, że przy wystarczającej presji można zarobić.
Uiszczenie opłaty nie gwarantuje, że ofiary odzyskają dostęp do kontroli ani nie gwarantuje, że informacje nie zostaną upublicznione.
