Essex NHS Trust potwierdza wyciek danych po ataku Qilin – dwa lata później

Essex NHS Trust potwierdza wyciek danych po ataku Qilin – dwa lata później

Zaufany szpital NHS w Essex stał się kolejną organizacją opieki zdrowotnej, która potwierdziła, że dane pacjentów zostały skradzione podczas ataku ransomware grupy Qilin, a informacja ta pojawia się około dwa lata po tym, jak grupa ta po raz pierwszy zaatakowała systemy NHS. Narastający problem ochrony danych pacjentów w związku z atakami ransomware na NHS przestał być wyłącznie kwestią techniczną dla szpitalnych zespołów IT. Dla pacjentów, których dane zostały wykradzione, zegar potencjalnych oszustw, phishingu i nadużyć tożsamości tyka już od dłuższego czasu.

To ujawnienie przypomina, że incydenty ransomware w opiece zdrowotnej rzadko przebiegają według uporządkowanego harmonogramu. Ofiary są identyfikowane falami, powiadomienia docierają z opóźnieniem, a pełny zakres skradzionych danych może zająć miesiące, a czasem lata.

Które szpitale NHS potwierdziły kradzież dokumentacji

Grupa Qilin początkowo zaatakowała dostawcę NHS – firmę Synnovis – w czerwcu 2024 roku, zakłócając usługi transfuzji krwi i prace laboratoriów patologicznych w kilku londyńskich szpitalach, w tym King's College Hospital oraz Guy's and St Thomas'. Atak ten spowodował odwołanie operacji i zmusił klinicystów do pracy bez dostępu do kluczowych wyników badań.

Potwierdzenie ze strony szpitala w Essex oznacza rozszerzenie tego zasięgu. W miarę jak szpitale kontrolują swoje systemy i porównują je ze zrzutami skradzionych danych, coraz więcej placówek osiąga etap, na którym może formalnie powiadomić poszkodowanych pacjentów. Kategorie danych, których dotyczą tego typu naruszenia w NHS, zazwyczaj obejmują imiona i nazwiska, daty urodzenia, numery NHS, notatki kliniczne, wyniki badań, a w niektórych przypadkach także dane finansowe powiązane z kontami pacjentów.

Szczególnie niepokojący jest harmonogram – pacjenci powiadomieni teraz byli narażeni na potencjalne nadużycia nawet przez dwa lata, nie mając o tym pojęcia. Skradziona dokumentacja medyczna nie traci ważności tak jak numery kart kredytowych. Zachowuje wartość na rynkach przestępczych, ponieważ zawiera niezmienne dane osobowe, których nie można zmienić.

Dlaczego dokumentacja medyczna jest cennym celem ataków ransomware

Dokumentacja medyczna regularnie osiąga wyższe ceny na forach przestępczych niż same dane finansowe. Pojedynczy rekord medyczny może zawierać wszystko, czego oszust potrzebuje do kradzieży tożsamości – informacje o ubezpieczeniu, historię przyjmowanych leków i dane najbliższej rodziny. Dla operatorów ransomware, takich jak Qilin, organizacje opieki zdrowotnej stanowią podwójną zachętę: presję zakłócenia działania skłaniającą do szybkiej zapłaty (ponieważ praca kliniczna opiera się na bieżących danych) oraz bardzo atrakcyjny zbiór danych do sprzedania, jeśli okup nie zostanie zapłacony.

NHS jest szczególnie atrakcyjnym celem, ponieważ ma ogromną skalę, jego systemy są niejednorodne w różnych placówkach, a zewnętrzni dostawcy często stanowią najsłabsze ogniwo. Atak na Synnovis dokładnie to pokazał – zamiast bezpośrednio włamywać się do szpitala, napastnicy przejęli dostawcę głęboko zintegrowanego z wieloma sieciami szpitalnymi.

Ataki socjotechniczne są naturalną konsekwencją tego rodzaju naruszeń. Gdy tylko napastnicy wejdą w posiadanie zweryfikowanych danych pacjentów, mogą tworzyć bardzo przekonujące wiadomości phishingowe lub połączenia typu vishing – taktykę tę obserwowano w innych głośnych incydentach. W przypadku ataku vishingowego na Cushman & Wakefield, w którym grupa ShinyHunters twierdziła, że przejęła 500 000 rekordów, skradzione dane organizacyjne zostały wykorzystane, by uwiarygodnić oszukańcze telefony skierowane do pracowników. Pacjenci NHS stają przed podobnym ryzykiem, gdy ich osobiste dane zdrowotne trafiają w ręce przestępców.

Jak pacjenci mogą się chronić podczas korzystania z portali internetowych NHS

Dla większości pacjentów natychmiastowe pytanie ma charakter praktyczny: co mogę właściwie z tym zrobić? Odpowiedź zaczyna się od uświadomienia sobie, że własne nawyki dostępu mają znaczenie, nawet jeśli naruszenie nastąpiło po stronie dostawcy.

Pacjenci NHS coraz częściej zarządzają wizytami, wynikami badań i powtarzanymi receptami za pośrednictwem platform takich jak NHS App i Patient Access. Te portale przechowują wrażliwe dane kliniczne, a logowanie się do nich przez niezabezpieczone lub współdzielone sieci tworzy dodatkowy punkt narażenia – niezależnie od ryzyka istniejącego wewnątrz infrastruktury samego NHS.

Po pierwsze, sprawdź, czy otrzymałeś jakiekolwiek powiadomienie o naruszeniu ze swojego szpitala. Jeśli tak, potraktuj je poważnie i monitoruj swoje konta pod kątem nietypowej aktywności, w tym nieoczekiwanych rachunków medycznych, zapytań ubezpieczeniowych lub próśb o weryfikację tożsamości, których nie inicjowałeś.

Po drugie, używaj silnych, unikalnych haseł do każdego konta związanego z opieką zdrowotną i włącz uwierzytelnianie dwuskładnikowe tam, gdzie usługa je obsługuje. Ataki typu credential stuffing, w których napastnicy wykorzystują nazwy użytkowników i hasła z jednego wycieku, aby uzyskać dostęp do kont gdzie indziej, są rutynowym następstwem dużych kradzieży danych medycznych.

Po trzecie, podchodź podejrzliwie do wszelkich niezamówionych kontaktów, które rzekomo pochodzą z NHS i proszą o weryfikację danych osobowych. Prawdziwa komunikacja z NHS nie będzie żądać haseł ani informacji finansowych przez telefon czy e-mail.

Szyfrowanie i dobre praktyki VPN w przypadku danych medycznych w publicznych sieciach Wi-Fi

Jeśli regularnie korzystasz z portali NHS lub innych kont medycznych w podróży lub w publicznych sieciach Wi-Fi, szyfrowanie połączenia jest prostym krokiem, który zmniejsza jedno realne ryzyko. Publiczne sieci w kawiarniach, bibliotekach, szpitalach i węzłach komunikacyjnych nie są zabezpieczone, a ruch w nich może być przechwytywany.

Korzystanie z renomowanej sieci VPN tworzy zaszyfrowany tunel między Twoim urządzeniem a internetem, znacznie utrudniając komukolwiek w tej samej sieci przechwycenie Twoich danych logowania lub tokenów sesji. Nie chroni to przed naruszeniami zachodzącymi wewnątrz systemów samego NHS, ale zamyka jedną z dróg dla oportunistycznej kradzieży.

Oprócz korzystania z VPN, aktualizowanie systemu operacyjnego i aplikacji na urządzeniu łata luki wykorzystywane przez złośliwe oprogramowanie do przechwytywania danych jeszcze przed zastosowaniem szyfrowania. Pełne szyfrowanie dysku w telefonie lub laptopie oznacza, że w przypadku zgubienia lub kradzieży urządzenia zapisane dane logowania do NHS nie będą od razu możliwe do odczytania.

Co to oznacza dla Ciebie

Rosnąca liczba przypadków naruszeń związanych z Qilin w NHS to kryzys ujawniania w zwolnionym tempie. Szpitale wciąż ustalają, co dokładnie zostało skradzione, a pacjenci, których dotknięto lata temu, dopiero teraz otrzymują potwierdzenia. Ta luka tworzy długi okres, w którym skradzione dane mogą krążyć bez wiedzy ofiar.

Najważniejszym wnioskiem z tej sytuacji jest to, że ochrona danych pacjentów w związku z naruszeniami ransomware w NHS nie jest bierna. Nie możesz powstrzymać grupy ransomware przed atakiem na dostawcę szpitala. Możesz jednak ograniczyć to, co napastnicy mogą zrobić z Twoimi danymi, gdy już wyciekną.

Zacznij od sprawdzenia, na których platformach NHS i opieki zdrowotnej masz konta, upewnij się, że każde ma unikalne hasło i uwierzytelnianie dwuskładnikowe, a wszelkie niezamówione wiadomości związane ze zdrowiem traktuj ze wzmożoną podejrzliwością. Łącząc się z tymi platformami poza domem, korzystaj z szyfrowanego połączenia. Regularne przeglądanie własnych nawyków w zakresie bezpieczeństwa danych to najprostsza odpowiedź na środowisko, w którym naruszenia danych w opiece zdrowotnej na dużą skalę są powtarzającą się rzeczywistością, a nie rzadkim zdarzeniem.