image

Ransomware verwijdert patiëntendossiers kinderkliniek VS

dinsdag 18 oktober 2016, 11:41 door Redactie, 6 reacties

Een Amerikaanse kinderkliniek heeft ruim 33.000 patiënten gewaarschuwd dat hun patiëntendossiers mogelijk door ransomware zijn verwijderd. In een waarschuwing op de eigen website laat de Rainbow Children’s Clinic weten dat het op 3 augustus het slachtoffer was van een aanval.

Volgens de kliniek voerde een hacker een "ransomware-aanval" uit en werden er gegevens op de servers van de kliniek versleuteld. Om het verlies van patiëntgegevens tegen te gaan werd besloten om het computersysteem meteen uit te schakelen. Uit forensisch onderzoek blijkt echter dat sommige patiëntgegevens onherstelbaar zijn verwijderd. De dossiers bevatten patiëntnamen, adresgegevens, geboortedata, social security nummers en medische informatie.

Ook kunnen de dossiers de persoonlijke informatie van de ouders of personen die de zorgrekening betalen bevatten, zoals namen, adresgegevens, social security nummers en medische betaalgegevens. De kliniek heeft alle patiënten inmiddels per brief gewaarschuwd. Het feit dat er over onherstelbaar verlies wordt gesproken lijkt erop te duiden dat de kliniek geen actuele back-ups had.

Reacties (6)
18-10-2016, 12:08 door Anoniem
Dus, zoals al vaker voorgesteld... 1000 euro/dollar per persoon boete. Dus dat is ff 33 miljoen aftikken, en dus failliet!

Want blijkbaar waren backups te duur.... nou met die 33 miljoen boete is het ineens goedkoop.

TheYOSH
18-10-2016, 13:31 door Anoniem
Misschien is het daarom handig om zelf je patiëntendossier te bewaren.
18-10-2016, 14:45 door Anoniem
5 goed opgeleide vrouwen die kinderen proberen te helpen... Ze zijn geen experts op infosec vlak maar proberen iets goeds te doen. Als je dan toch wat gaat zeiken over dergelijke mensen ga dan je diensten gratis c.q. goedkoop aanbieden aan dergelijke kleine organisaties die iets positiefs doen!

Ze waren bovendien HIPAA compliant dus het is niet hun schuld maar de schuld van zogenaamde "infosec experts" die hen veilig verklaard hebben. Geeft maar weer aan hoeveel kneuzen er rond lopen in dit o zo "professionele" vakgebied van de infosec. Gewoon f*cking lachwekkend dus die certificeringen...

Niet iedereen heeft infosec als hobby of vakgebied zoals jij en ik. Maar ik ben heel dankbaar dat er mensen zijn die van infosec geen donder van afweten omdat ze namelijk op andere terreinen een aanzienlijke bijdrage leveren. Dus mensen kapot willen maken (boete van 33 miljoen) omdat een of andere retard het nodig vond om een stuk ransomware distribueren lijkt me gestoord. Beetje ambtenaren mentaliteit zoals bij sommige overheidsinstellingen gangbaar is. Incompetent, overtuigd van eigen gelijk en niet ter verantwoording te roepen dankzij absurde wetgeving...


My two cents...
18-10-2016, 17:33 door Anoniem
Door Anoniem: 5 goed opgeleide vrouwen die kinderen proberen te helpen... Ze zijn geen experts op infosec vlak maar proberen iets goeds te doen. Als je dan toch wat gaat zeiken over dergelijke mensen ga dan je diensten gratis c.q. goedkoop aanbieden aan dergelijke kleine organisaties die iets positiefs doen!

Ze waren bovendien HIPAA compliant dus het is niet hun schuld maar de schuld van zogenaamde "infosec experts" die hen veilig verklaard hebben. Geeft maar weer aan hoeveel kneuzen er rond lopen in dit o zo "professionele" vakgebied van de infosec. Gewoon f*cking lachwekkend dus die certificeringen...

Niet iedereen heeft infosec als hobby of vakgebied zoals jij en ik. Maar ik ben heel dankbaar dat er mensen zijn die van infosec geen donder van afweten omdat ze namelijk op andere terreinen een aanzienlijke bijdrage leveren. Dus mensen kapot willen maken (boete van 33 miljoen) omdat een of andere retard het nodig vond om een stuk ransomware distribueren lijkt me gestoord. Beetje ambtenaren mentaliteit zoals bij sommige overheidsinstellingen gangbaar is. Incompetent, overtuigd van eigen gelijk en niet ter verantwoording te roepen dankzij absurde wetgeving...


My two cents...

+++ .. !

btw, in het kader van verkiezingen, de reageerder die dit soort harder straffen en beboeten uitspraken bezigt is gelieerd aan de piratenpartij, op basis van dit soort uitspraken lijkt het een logische stap de piratenpartij te laten fuseren met de pvv en ancilla door te schuiven naar een betrouwbaarder partij.

denk eraan waarmee je je verbindt als je gaat stemmen!
18-10-2016, 22:31 door SecGuru_OTX
Wel een sneu verhaal voor een kliniek met goede intenties.

De HIPAA standaard m.b.t. Backup zegt volgens mij niet zo heel veel. HIPAA heeft volgens mij alleen richtlijnen over het "veilig" backuppen (b.v. encryptie), niet direct over controls om regelmatig een restore te testen.
19-10-2016, 12:58 door Anoniem
Door SecGuru_OTX: Wel een sneu verhaal voor een kliniek met goede intenties.

De HIPAA standaard m.b.t. Backup zegt volgens mij niet zo heel veel. HIPAA heeft volgens mij alleen richtlijnen over het "veilig" backuppen (b.v. encryptie), niet direct over controls om regelmatig een restore te testen.

HIPAA regulations apply to any email message or other electronic records that contain sensitive information about an individual’s medical history. The preservation period for a medical record is a minimum of five years, though some related statutes dictate that certain information be retained for the life of the patient.

Ofwel een capabele infosec expert zou dus op basis van de wetgeving die geldig is in de betreffende staat vaststellen wat de wettelijke vereiste is en dat als uitganspunt nemen. Controleren of het backup proces is ingeregeld lijkt me een minimum vereiste ondersteunt door enige evidence. De restore actie lijkt me een aanvullende eis Broddelwerk dus door aan infosec expert die uit een Maarten Toonder verhaal is gevallen... ;)

Heer Bommel mag de toornviolen tot zijn verbazing meenemen, omdat de professor stelt: “Ik heb de samenstelling. En wat de natuur ons biedt is broddelwerk vergeleken bij een wetenschappelijke formule.” Kwetal is verrukt over de hoeveelheid mir maar

hij kan net als Tom Poes de kasteelheer geen goede raad geven.

By the way:
http://www.hipaajournal.com/rainbow-childrens-clinic-ransomware-attack-resulted-in-data-loss-3635/

Two cents.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.