Ransomwareangreb rammer kernen i hollandske sundhedsjournaler

Et betydeligt ransomwareangreb på ChipSoft, en af Nederlandenes mest udbredte softwareudbydere inden for elektroniske patientjournaler, har sendt chokbølger gennem den hollandske sundhedssektor. Mindst et dusin hospitaler har allerede indgivet anmeldelser til den hollandske datatilsynsmyndighed (AP), og efterforskerne arbejder stadig på at fastlægge det fulde omfang af bruddet.

Omfanget af den potentielle eksponering er betydeligt. ChipSofts HiX-platform bruges af cirka 70% af de hollandske hospitaler til at administrere elektroniske patientjournaler. Det betyder, at et enkelt angreb på én softwareleverandør kan skabe ringvirkninger på tværs af størstedelen af landets hospitalenet og potentielt berøre personlige og medicinske oplysninger om millioner af patienter.

Hvilke data kan være i fare

Elektroniske patientjournaler indeholder noget af den mest følsomme personlige information, der findes: diagnoser, behandlingshistorik, medicinoplysninger, identifikationsnumre og kontaktoplysninger. Når ransomware trænger ind i et system, der håndterer denne type data, rækker risiciene langt ud over midlertidige driftsforstyrrelser.

Efterforskningerne er i øjeblikket fokuseret på, om datatrafik blev opsnappet under angrebet. Dette er et afgørende spørgsmål. Ransomware låser ikke altid bare systemer og kræver betaling; i stigende grad eksfiltrerer angribere data før eller under krypteringen, hvilket giver dem løftestang til dobbelt-afpresningsordninger. Hvis data blev opsnappet under overførslen, kan det betyde, at journaler blev kopieret og fuldstændigt fjernet fra sikre miljøer.

Hospitaler, der er afhængige af ChipSofts software, befinder sig nu i den vanskelige situation, at de skal underrette tilsynsmyndighederne, mens de samtidig forsøger at forstå, hvad der eventuelt er blevet stjålet. I henhold til europæiske GDPR-regler skal organisationer rapportere databrud til tilsynsmyndighederne inden for 72 timer efter at være blevet bekendt med dem, og de kan også være forpligtet til at informere berørte personer afhængigt af risikoens alvor.

Hvorfor sundhedssektoren er et primært mål for ransomware

Sundhedssektoren er blevet en af de hyppigst målrettede brancher for ransomwareangreb på verdensplan. Der er flere årsager til dette. Medicinske journaler har høj værdi på de underjordiske markeder, fordi de indeholder en rig kombination af personlige og finansielle oplysninger. Hospitaler opererer også under et intenst pres for at holde systemerne kørende, hvilket kan gøre dem mere villige til hurtigt at betale løsesummer for at genvinde adgangen.

Angreb på softwareforsyningskæden, hvor kriminelle retter sig mod en leverandør, der bruges af mange organisationer, frem for at angribe hver organisation individuelt, multiplicerer den potentielle skade betydeligt. Ved at bryde ind i ét selskab som ChipSoft opnår angriberne et fodfæste, der strækker sig på tværs af hele netværket af kunder, der er afhængige af den pågældende software. Denne tilgang er effektiv for angriberne og ødelæggende for de organisationer og enkeltpersoner, der rammes.

Nederlandene er ikke et isoleret tilfælde. Sundhedsudbydere i hele Europa og Nordamerika har stået over for lignende hændelser i de seneste år, og tendensen viser ingen tegn på at vende.

Hvad dette betyder for dig

Hvis du er patient på et hollandsk hospital, der bruger ChipSofts HiX-software, kan dine medicinske og personlige data være blevet eksponeret. Her er, hvad du bør overveje at gøre:

  • Hold øje med underretninger. Hospitaler, der er berørt af bruddet, er forpligtet til at informere patienter, hvis deres data var involveret. Hold øje med officielle meddelelser fra din sundhedsudbyder.
  • Vær opmærksom på phishingforsøg. Efter et databrud bruger angribere ofte stjålne oplysninger til at udforme overbevisende phishing-e-mails eller telefonopkald. Vær skeptisk over for uopfordret kontakt, der hævder at komme fra dit hospital eller din forsikringsudbyder.
  • Kend dine rettigheder hos AP. I henhold til GDPR har du ret til at anmode organisationer om oplysninger om, hvilke data de opbevarer om dig, og hvordan de er blevet behandlet. Den hollandske datatilsynsmyndighed er det relevante organ, hvis du har bekymringer om, hvordan dine data er blevet håndteret.
  • Forstå grænserne for, hvad du kan kontrollere. Når dine data opbevares af en tredjepart som et hospital eller dets softwareleverandør, har du begrænset direkte kontrol over sikkerheden. Dette gør det endnu vigtigere, at institutionerne tager deres forpligtelser vedrørende databeskyttelse alvorligt.

For sundhedsorganisationer og it-administratorer er dette brud en påmindelse om, at styring af leverandørrisiko er afgørende. At basere sig på en enkelt platform på tværs af en stor del af et nationalt sundhedssystem skaber koncentrationsrisiko. Regelmæssige sikkerhedsrevisioner, planlægning af hændelsesrespons og sikring af, at data under overførsel er krypterede, er grundlæggende krav og ikke valgfrie tilvalg.

ChipSoft-hændelsen er stadig under efterforskning, og det fulde billede af, hvilke data der er berørt, kan tage uger at tegne sig. Patienter fortjener rettidig og gennemsigtig kommunikation fra de institutioner, der er betroet deres mest følsomme oplysninger. Tilsynsmyndigheder, hospitaler og softwareleverandører har alle en rolle at spille for at sikre, at denne standard overholdes.