Essex NHS-trust bekräftar Qilin-intrånget två år senare

Essex NHS-trust bekräftar Qilin-intrånget två år senare

En NHS-trust i Essex har blivit den senaste vårdorganisationen att bekräfta att patientjournaler stulits under en Qilin ransomware-attack, och avslöjandet kommer ungefär två år efter att gruppen först slog till mot NHS-system. Det växande problemet med dataskydd för patienter vid NHS ransomware-intrång är inte längre enbart en teknisk fråga för sjukhusens IT-team. För de patienter vars journaler togs har klockan för potentiellt bedrägeri, phishing och identitetsmissbruk redan tickat länge.

Avslöjandet är en påminnelse om att ransomware-incidenter inom vården sällan följer en prydlig tidslinje. Offer identifieras i vågor, aviseringar kommer sent, och den fulla omfattningen av vad som stulits kan ta månader, ibland år, att fastställa.

Vilka NHS-trusts har bekräftat stulna journaler

Qilin-gruppen riktade först in sig på NHS-leverantören Synnovis i juni 2024 och störde blodtransfusionstjänster och patologiverksamhet vid flera sjukhus i London, däribland King's College Hospital och Guy's och St Thomas'. Attacken ledde till inställda operationer och tvingade kliniker att arbeta utan tillgång till kritiska provsvar.

Bekräftelsen från Essex-trusten innebär en utvidgning av den spridningen. I takt med att sjukhus fortsätter att granska sina system och jämföra stulna datadumpar når fler trusts den punkt där de formellt kan meddela drabbade patienter. De datakategorier som berörs vid denna typ av NHS-intrång omfattar vanligtvis namn, födelsedatum, NHS-nummer, kliniska anteckningar, testresultat och i vissa fall ekonomiska uppgifter kopplade till patientkonton.

Det som gör tidsspannet så oroande är att patienter som nu meddelas har varit utsatta för potentiellt missbruk i upp till två år utan att veta om det. Stulna patientjournaler förfaller inte som kreditkortsnummer gör. De behåller sitt värde på kriminella marknader eftersom de innehåller oföränderliga personuppgifter som inte kan ändras.

Varför patientjournaler är ett högvärdigt mål för ransomware

Patientjournaler betingar konsekvent högre priser på kriminella forum än enbart finansiella inloggningsuppgifter. En enda medicinsk journal kan innehålla allt en bedragare behöver för att begå identitetsstöld, inklusive försäkringsinformation, medicineringshistorik och anhöriguppgifter. För ransomware-operatörer som Qilin erbjuder vårdorganisationer en dubbel drivkraft: störningstrycket att betala snabbt (eftersom klinisk verksamhet är beroende av aktuella data) och ett lättsålt dataset om lösensumman inte betalas.

NHS är ett särskilt attraktivt mål eftersom dess skala är enorm, dess system är heterogena mellan trusts och tredjepartsleverantörer utgör ofta den svagaste länken. Synnovis-attacken visade exakt det mönstret. I stället för att direkt angripa ett sjukhus, komprometterade angriparna en leverantör med djup integration i flera sjukhusnätverk.

Social engineering-attacker följer naturligt efter denna typ av intrång. När angriparna har verifierade patientdata kan de skapa mycket övertygande phishing-meddelanden eller röst-phishing-samtal, en taktik som setts i andra uppmärksammade incidenter. I Cushman & Wakefield vishing-attack där ShinyHunters påstod sig ha 500 000 registerposter användes stulen organisationsdata för att ge trovärdighet åt bedrägliga samtal riktade mot personal. NHS-patienter löper en liknande risk när deras personliga hälsoinformation hamnar i kriminella händer.

Hur patienter kan skydda sig vid användning av NHS webbportaler

För de flesta patienter är den omedelbara frågan praktisk: vad kan jag faktiskt göra åt detta? Svaret börjar med att inse att dina egna inloggningsvanor spelar roll, även om intrånget skedde på vårdgivarens sida.

NHS-patienter hanterar i allt högre grad bokningar, provsvar och receptförnyelser via plattformar som NHS-appen och Patient Access. Dessa portaler innehåller känslig klinisk data, och att logga in på dem via osäkra eller delade nätverk skapar en ytterligare exponeringspunkt utöver de risker som finns i NHS egen infrastruktur.

För det första: kontrollera om du har fått något meddelande om intrång från din trust. Om du har det, ta det på allvar och övervaka dina konton för ovanlig aktivitet, inklusive oväntade medicinska räkningar, försäkringsförfrågningar eller identitetsverifieringsförfrågningar som du inte har initierat.

För det andra: använd starka, unika lösenord för varje vårdkonto och aktivera tvåfaktorsautentisering där tjänsten stöder det. Credential stuffing-attacker, där angripare använder användarnamn och lösenord från ett intrång för att få åtkomst till konton på andra ställen, är en rutinmässig följd av stora stölder av vårddata.

För det tredje: var misstänksam mot all oönskad kontakt som påstår sig komma från NHS och som ber dig verifiera personuppgifter. Äkta NHS-kommunikation kommer inte att be om lösenord eller ekonomisk information via telefon eller e-post.

Kryptering och VPN-bästa praxis för medicinska data på publika Wi-Fi-nät

Om du regelbundet använder NHS-portaler eller andra vårdkonton när du reser eller använder publikt Wi-Fi, är det ett enkelt steg att kryptera din anslutning som minskar en verklig risk. Publika nätverk på kaféer, bibliotek, sjukhus och resecentrum är inte säkra och trafik på dem kan avlyssnas.

Att använda ett välrenommerat VPN skapar en krypterad tunnel mellan din enhet och internet, vilket gör det avsevärt svårare för någon på samma nätverk att fånga upp dina inloggningsuppgifter eller sessionsnycklar. Detta skyddar inte mot intrång som sker i NHS egna system, men det stänger en möjlighet för opportunistisk stöld.

Utöver VPN-användning: håll enhetens operativsystem och appar uppdaterade för att täppa till de sårbarheter som skadlig kod utnyttjar för att avlyssna data innan kryptering ens tillämpas. Fullständig diskkryptering på din telefon eller bärbara dator innebär att om enheten förloras eller blir stulen, blir dina cachade NHS-inloggningsdata inte omedelbart läsbara.

Vad detta innebär för dig

Den växande listan över Qilin NHS-intrång är en kris med långsam informationsspridning. Trusts kartlägger fortfarande vad som har tagits, och patienter som drabbades för åratal sedan får först nu bekräftelse. Den fördröjningen skapar ett långt tidsfönster där stulna journaler kan cirkulera utan att offren är medvetna om det.

Det viktigaste du kan ta med dig från den här situationen är att skyddet av patientdata vid NHS ransomware-intrång inte är passivt. Du kan inte hindra en ransomware-grupp från att attackera en sjukhusleverantör. Däremot kan du minska vad angriparna kan göra med dina data när de väl har läckt ut.

Börja med att inventera vilka NHS- och vårdplattformar du har konton på, se till att varje konto har ett unikt lösenord och tvåfaktorsautentisering, och bemöt all oönskad vårdrelaterad kommunikation med ökad skepsis. När du ansluter till dessa plattformar utanför hemmet, använd en krypterad anslutning. Att regelbundet se över sina egna datasäkerhetsvanor är det mest direkta svaret på en miljö där storskaliga vårddataintrång är en återkommande verklighet, inte en sällsynt händelse.