Een datalek veroorzaakt door het gebruik van een kwetsbare end-of-life firewall kost een Amerikaans medisch bedrijf 450.000 dollar. Het bedrag moet US Radiology aan de Amerikaanse staat New York betalen wegens een incident dat zich eind 2021 voordeed. Het bedrijf biedt röntgendiensten en kreeg in december 2021 met een aanval te maken, waarbij de gegevens van bijna tweehonderdduizend patiënten werden gestolen.

Het ging om namen, geboortedatum, social-securitynummers, rijbewijsnummers, paspoortnummers, patient-ID's, behandeldata, het soort röntgenonderzoek, diagnoses en zorgverzekeringsgegevens. De aanvallers wisten binnen te komen via een kwetsbaarheid in een firewall van SonicWall. In januari 2021 meldde SonicWall dat interne systemen het doelwit van een aanval waren geworden waarbij mogelijk één of meerdere zerodaylekken in de eigen producten van het securitybedrijf waren gebruikt.

Begin februari kwam SonicWall met updates voor de aangevallen kwetsbaarheden. De SonicWall-firewall waar US Radiology gebruik van maakte was end-of-life en werd niet meer met beveiligingsupdates ondersteund. Het bedrijf was van plan om de firewall in juli 2021 te vervangen. Het vervangingsproject liep echter vertraging op, waardoor de kwetsbare firewall in gebruik bleef. In december 2021 wist een aanvaller toegang tot het systeem te krijgen, waarbij mogelijk gebruik is gemaakt van de kwetsbaarheid.

Omdat de aanvaller inloggegevens van de lokale en domeinbeheerder in handen kreeg en bepaalde beveiligingsprotocollen aanpaste, duurde het externe forensisch onderzoek tot augustus 2022, zo laat de procureur-generaal van de Amerikaanse staat New York weten. Volgens de procureur-generaal heeft US Radiology geen gepaste maatregelen genomen om patiëntgegevens te beschermen door een bekende kwetsbaarheid in de eigen firewall niet te verhelpen.

Naast het betalen van een bedrag van 450.000 dollar moet US Radiology aanvullende beveiligingsmaatregelen nemen, waaronder het bestaande beveiligingsbeleid versterken, een programma implementeren voor het identificeren, vervangen en updaten van it-middelen, het versleutelen van patiëntgegevens, het periodiek laten uitvoeren van penetratietests en het invoeren van beleid om patiëntgegevens permanent te verwijderen als die niet langer nodig voor de bedrijfsvoering zijn.