Ransomware napad na bolnicu izložio podatke 337.917 pacijenata

Ransomware napad na Cookeville Regional Medical Center: Što se dogodilo

Veliki proboj podataka u Cookeville Regional Medical Center (CRMC) u Tennesseeju pogodio je gotovo 338.000 osoba, čineći ga jednim od značajnijih incidenata vezanih uz ransomware u zdravstvenom sektoru zabilježenih u posljednjih nekoliko mjeseci. Bolnica je službeno obavijestila regulatorna tijela o proboju, pripisujući napad ransomware grupi Rhysida, kriminalnoj organizaciji s dokumentiranom poviješću ciljanja zdravstvenih ustanova.

Prema CRMC-ovim izvješćima, napadači su eksfiltrirali približno 500 GB osjetljivih podataka prije nego što je proboj bio zaustavljen. Kompromitrani podaci uključuju imena pacijenata, brojeve socijalnog osiguranja, evidenciju o medicinskom liječenju te pojedinosti o financijskim računima. CRMC je 18. travnja 2026. počeo slati pisma s obavijestima 337.917 pogođenih osoba, nakon dugotrajne forenzičke istrage o opsegu i prirodi incidenta.

Vremenski razmak između napada i obavijesti odražava koliko složene mogu biti takve istrage. Zdravstvene organizacije moraju pažljivo utvrditi točno kojim je podacima pristupljeno, kome oni pripadaju i koje regulatorne obveze vrijede prije nego što kontaktiraju pogođene osobe.

Što radi ransomware grupa Rhysida

Rhysida je operacija ransomware-as-a-service koja je aktivna najmanje od 2023. godine. Grupa tipično dobiva početni pristup putem phishing poruka e-pošte ili iskorištavanjem ukradenih vjerodajnica, zatim se lateralno kreće mrežom prije nego što eksfiltrira podatke i provede enkripciju. Model dvostruke iznude znači da žrtve suočavaju i s blokiranim sustavima i s prijetnjom da će njihovi podaci biti objavljeni ili prodani ako otkupnina ne bude plaćena.

Zdravstvene organizacije su česta meta jer posjeduju visoko vrijedne osobne i medicinske podatke, često koriste zastarjele sustave s poznatim ranjivostima te su pod ogromnim pritiskom da brzo obnove usluge. Taj pritisak može ih učiniti sklonijima plaćanju otkupnine, što ih pak čini privlačnim metama.

Proboj u CRMC-u studija je slučaja o tome kako jedan uspješan upad može kompromitirati zapise stotina tisuća ljudi, uključujući informacije osjetljive poput medicinske povijesti i brojeva socijalnog osiguranja.

Što ovo znači za vas

Ako ste primili pismo s obavijesti od CRMC-a, ili ako ste bili pacijent te ustanove, postoje konkretni koraci koje biste trebali poduzeti odmah.

Pozorno pratite svoje financijske račune. Proboj je izložio pojedinosti financijskih računa zajedno s osobnim podacima. Redovito provjeravajte bankovne izvode i izvode kreditnih kartica zbog nepoznatih transakcija. Kontaktirajte svoju financijsku instituciju ako primijetite nešto sumnjivo.

Postavite zamrzavanje kredita ili upozorenje o prijevari. Budući da su brojevi socijalnog osiguranja bili među kompromitiranim podacima, pogođene su osobe izloženije povećanom riziku od krađe identiteta. Zamrzavanje kredita u sva tri glavna kreditna ureda (Equifax, Experian i TransUnion) sprječava otvaranje novih računa na vaše ime bez vašeg izričitog odobrenja. Upozorenje o prijevari blaža je opcija koja označava vaš dosje za dodatnu provjeru.

Budite oprezni na phishing pokušaje. Napadači koji pribave podatke u ovakvim probojima često ih koriste za kreiranje uvjerljivih phishing poruka e-pošte ili telefonskih poziva. Budite skeptični prema neželjenim komunikacijama koje se pozivaju na vašu medicinsku skrb, posebno onima koje vas traže da kliknete na poveznicu ili dostavite dodatne osobne podatke.

Pažljivo pročitajte pismo s obavijesti. CRMC-ovo pismo trebalo bi sadržavati pojedinosti o tome koji su specifični podaci bili pogođeni u vašem slučaju, kao i informacije o svim uslugama praćenja kredita ili zaštite identiteta koje bolnica nudi. Iskoristite te usluge ako su dostupne.

Kako zdravstvene organizacije i radnici mogu smanjiti rizik

Za zdravstvene stručnjake i administratore, incidenti poput proboja u CRMC-u naglašavaju važnost slojevitih sigurnosnih praksi. Krađa vjerodajnica jedan je od najčešćih ulaznih točaka za ransomware grupe. Korištenje VPN-a, posebno na nezaštićenim ili javnim mrežama, pomaže u enkripciji prometa i smanjuje rizik da se vjerodajnice za prijavu presretnu u prijenosu. To je posebno relevantno za zdravstvene radnike koji daljinski pristupaju evidencijama pacijenata ili bolničkim sustavima.

Osim korištenja VPN-a, snažna higijena lozinki i višefaktorska autentifikacija na svim sustavima koji upravljaju zaštićenim zdravstvenim informacijama su ključni. Obuka o prepoznavanju phishinga ostaje jedna od najučinkovitijih obrana protiv početnih taktika upada na koje se grupe poput Rhyside oslanjaju.

Redovite revizije toga tko ima pristup osjetljivim sustavima, u kombinaciji s kontrolama pristupa s minimalnim privilegijama, mogu ograničiti koliko daleko napadač može napredovati unutar mreže. Podataka 500 GB eksfiltriranih iz CRMC-a sugerira da su napadači imali vremena i pristupa za kretanje kroz značajne dijelove podatkovnog okruženja bolnice.

Ostati ispred zdravstvenih proboja

Proboj podataka u CRMC bolnici podsjetnik je da su zdravstveni podaci jedni od najosjetljivijih informacija koje postoje. Medicinska dokumentacija kombinira osobne identifikatore, financijske pojedinosti i intimnu zdravstvenu povijest u jednoj datoteci, čineći ih iznimno vrijednima kriminalcima i iznimno štetnima kada budu izloženi.

Ako ste pogođeni ovim probojom, djelujte brzo. Zamrznite kredit, pratite svoje račune i budite oprezni na phishing. Ako radite u zdravstvu, shvatite ovo kao poticaj da preispitate vlastite sigurnosne navike, uključujući način i mjesto na kojima pristupate sustavima pacijenata. Alati za smanjenje osobnog rizika postoje; ključ je njihovo dosljedno korištenje prije nego što incident prisili na to.