Ransomwareangrep rammer kjernen i nederlandske helseregistre

Et betydelig ransomwareangrep mot ChipSoft, en av Nederlands mest brukte programvareleverandører for elektroniske pasientjournaler, har sendt sjokkbølger gjennom den nederlandske helsesektoren. Minst et dusin sykehus har allerede sendt inn varsler til den nederlandske datatilsynsmyndigheten (AP), og etterforskere arbeider fortsatt med å fastslå det fulle omfanget av bruddet.

Omfanget av potensiell eksponering er betydelig. ChipSofts HiX-plattform brukes av omtrent 70 % av nederlandske sykehus til å administrere elektroniske pasientjournaler. Det betyr at et enkelt angrep mot én programvareleverandør kan få ringvirkninger gjennom størstedelen av landets sykehusnett og potensielt berøre personlige og medisinske opplysninger om millioner av pasienter.

Hvilke data kan være i faresonen

Elektroniske pasientjournaler inneholder noe av den mest sensitive personlige informasjonen som finnes: diagnoser, behandlingshistorikk, medisineringsdetaljer, identifikasjonsnumre og kontaktinformasjon. Når ransomware trenger inn i et system som håndterer denne typen data, går risikoen langt utover midlertidig driftsstans.

Etterforskningene er for øyeblikket fokusert på om datatrafikk ble avlyttet under angrepet. Dette er et kritisk spørsmål. Ransomware låser ikke alltid bare systemer og krever betaling – i økende grad eksfiltrerer angripere data før eller under krypteringen, noe som gir dem grunnlag for dobbel utpressing. Hvis data ble avlyttet under overføring, kan det bety at journaler ble kopiert og fjernet helt fra sikre miljøer.

Sykehus som er avhengige av ChipSofts programvare befinner seg nå i den vanskelige situasjonen at de må varsle tilsynsmyndigheter samtidig som de forsøker å forstå hva som eventuelt ble stjålet. I henhold til EUs GDPR-regler må organisasjoner rapportere databrudd til tilsynsmyndigheter innen 72 timer etter at de ble kjent med dem, og de kan også måtte informere berørte enkeltpersoner avhengig av alvorlighetsgraden av risikoen.

Hvorfor helsesektoren er et primært mål for ransomware

Helsesektoren har blitt en av de hyppigst angrepne bransjene for ransomware globalt. Det er flere grunner til dette. Medisinske journaler har høy verdi på undergrunnsmarkeder fordi de inneholder en rik kombinasjon av personlig og finansiell informasjon. Sykehus opererer også under sterkt press for å holde systemene i drift, noe som kan gjøre dem mer villige til å betale løsepenger raskt for å gjenopprette tilgangen.

Angrep mot programvare-leverandørkjeder – der kriminelle retter seg mot en leverandør som brukes av mange organisasjoner i stedet for å angripe hver organisasjon individuelt – multipliserer den potensielle skaden betydelig. Ved å bryte seg inn i ett selskap som ChipSoft får angriperne et fotfeste som strekker seg over hele nettverket av kunder som er avhengige av den programvaren. Denne tilnærmingen er effektiv for angriperne og ødeleggende for organisasjonene og enkeltpersonene som rammes.

Nederland er ikke et isolert tilfelle. Helsetjenesteleverandører i hele Europa og Nord-Amerika har møtt lignende hendelser de siste årene, og trenden viser ingen tegn til å snu.

Hva dette betyr for deg

Hvis du er pasient ved et nederlandsk sykehus som bruker ChipSofts HiX-programvare, kan dine medisinske og personlige opplysninger ha blitt eksponert. Her er hva du bør vurdere å gjøre:

  • Følg med på varsler. Sykehus som er berørt av bruddet er pålagt å informere pasienter dersom deres data var involvert. Vær oppmerksom på offisiell kommunikasjon fra din helsetjenesteleverandør.
  • Vær på vakt mot phishing-forsøk. Etter et databrudd bruker angripere ofte stjålet informasjon til å lage overbevisende phishing-e-poster eller telefonsamtaler. Vær skeptisk til uoppfordret kontakt som hevder å komme fra ditt sykehus eller forsikringsselskap.
  • Kjenn dine rettigheter hos AP. I henhold til GDPR har du rett til å be organisasjoner om informasjon om hvilke data de har om deg og hvordan de er behandlet. Den nederlandske datatilsynsmyndigheten er det relevante organet dersom du har bekymringer om hvordan dine data ble håndtert.
  • Forstå begrensningene for hva du kan kontrollere. Når dine data oppbevares av en tredjepart som et sykehus eller dets programvareleverandør, har du begrenset direkte kontroll over sikkerheten. Dette gjør det desto viktigere at institusjoner tar sine forpliktelser knyttet til databeskyttelse på alvor.

For helseorganisasjoner og IT-administratorer er dette bruddet en påminnelse om at styring av leverandørrisiko er viktig. Å basere seg på én enkelt plattform for en stor del av et nasjonalt helsevesen skaper konsentrasjonsrisiko. Regelmessige sikkerhetsrevisjoner, planlegging av hendelseshåndtering og sikring av at data under overføring er kryptert er grunnleggende krav – ikke valgfrie tillegg.

ChipSoft-hendelsen er fortsatt under etterforskning, og det fullstendige bildet av hvilke data som ble berørt kan ta uker å få frem. Pasienter fortjener rettidig og transparent kommunikasjon fra institusjonene som er betrodd deres mest sensitive informasjon. Tilsynsmyndigheter, sykehus og programvareleverandører har alle en rolle å spille for å sikre at denne standarden opprettholdes.