Patiëntendossiers VS al maanden onbruikbaar door ransomware
De patiëntendossiers van een Amerikaanse kliniek zijn al maanden onbruikbaar nadat de server waarop de bestanden staan door ransomware werd versleuteld. De server van Desert Care in het Amerikaanse Arizona raakte in augustus van dit jaar door ransomware besmet.
Dat heeft de kliniek pas deze maand in een brief aan patiënten bekendgemaakt. Op de server stonden namen, geboortedata, adresgegevens, diagnoses, behandelinformatie en andere gegevens van 500 patiënten, zo blijk uit een melding die op 20 december bij het Amerikaanse ministerie van Gezondheid werd gedaan. De kliniek weet niet of de ransomware de gegevens alleen heeft versleuteld, of dat die ook zijn gestolen.
Desert Care zegt zowel de lokale politie als de FBI te hebben gewaarschuwd. Daarnaast is de server naar verschillende it-specialisten gebracht. "Maar die konden de encryptie van de ransomware niet kraken. Daardoor blijft de server vergrendeld door de ransomware en zijn de patiëntendossiers ontoegankelijk", aldus de brief aan patiënten (pdf). Die krijgen het advies hun afschriften te controleren en een bedrijf in te schakelen dat hun krediet monitort.
1. Backup terug zetten, al dan niet op een nieuwe machine, zodat klanten weer bij hun data kunnen komen.
2. Niet persoons-gevoelige data willen opslaan op een machine die met het internet verbonden is of waar medewerkers zelf software op mogen installeren. Verspreid data over meerdere machines. bv geen bank/credit card gegevens bij patient gegevens, of persoons gegevens opslaan op dezelfde machine.Verminder je kwetsbaarheid.
3. Niet 4 maanden wachten voordat je je klanten/patienten informeert dat ze hun afschriften in de gaten moeten houden en dat ze een bedrijf moeten inhuren. (Betaalt de kliniek deze kosten?)
4. Niet meerdere maanden wachten voordat je het ministerie hierover informeert. Hoe lang heeft het geduurd voordat politie en FBI erbij betrokken waren. Ook maanden?
En het is best grof dat de patient dus zelf maar zijn/haar gegevens in de gaten moeten houden, en een bedrijf in de handen nemen op eigen kosten.
Ik blijf herhalen, geef 1000 euro boete per dossier. Pas dan zullen bedrijven dus nadenken over goede beveiliging, maar ook backups. Voor die 500.000 euro kun je best een backup server aanschaffen en betere beveiliging.
TheYOSH
Een dergelijk krediet monitoring bedrijf is, helaas, vrij normaal ni de VS. De grap is wel dat in dit geval het ziekenhuis verantwoordelijk is voor het goed bewaren van zijn data en men zal, zeker in de VS, de kosten verhalen op het ziekenhuis.
In dit geval gaan patienten klagen over risico's van ID diefstal met als gevolg dat het ziekenhuis 1 tot 2 jaar krediet monitoring aanbiedt ter compensatie.
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) Dat kan ook handig zijn als iemand in een noodsituatie een behandeling in een ander ziekenhuis nodig heeft, de patiënt kan dan zelf zijn/haar gegevens verstrekken. En het is een extra backup. Een ideetje misschien?
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) ....
Geheugenchips zijn tegenwoordig trouwens zo klein dat iedereen zijn EPD met gemak bij zich zou kunnen dragen in de vorm van een sieraad. (ring, oorbel, halsketting, horloge?) ....
Zet er encryptie op met een offline verificatiemiddel. Voor mij part je eID oid.
Hoe fout ook, dit scenario kan zich bij vele kleine praktijken afspelen.
Deze praktijk heeft maanden geprobeerd de schade te herstellen en moet nu wel hun patienten een brief sturen.
De lokale pers maakt zich nergens druk over, alleen wij in NL staan klaar met ons vingertje. De doktoren zullen de autoriteten het een en ander moeten uitleggen, uiteraard.
De enige remedie is dit soort scenarios gebruiken om duidelijk te maken dat dit soort kleine partijen niet zelf hun IT moeten doen. Tegelijkertijd is hier nog geen duidelijke markt voor. Geen wonder dat ze door blijven modderen met een server in de bezemkast.
....
Er is al een markt voor dat soort specialistische software in nl.
Bij de huisartsen vereniging zijn entries te vinden voor standaarden waaraan de software moet voldoen.
De huisartsen zelf worden als publiek meer leken gezien. Recente ook bij de eigen praktijk een overgang naar vermoedelijke cloudinvulling gezien voor afspraken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.