De Amerikaanse zorgverlener Lafourche Medical Group heeft een datalek veroorzaakt door een phishingaanval met het Amerikaanse ministerie van Volksgezondheid geschikt voor een bedrag van 480.000 dollar. Het is de eerste keer dat het ministerie een phishing-gerelateerd onderzoek schikt. Lafourche Medical Group levert allerlei medische diensten, waaronder onderzoeken en medicatie.

Begin 2021 wist een aanvaller door middel van phishing toegang te krijgen tot een e-mailaccount met de gegevens van 35.000 patiënten. Naar aanleiding van het datalek startte het ministerie een onderzoek en ontdekte dat de zorgverlener geen risicoanalyse had uitgevoerd om potentiële dreigingen en kwetsbaarheden voor beschermde gezondheidsgegevens te vinden, zoals wettelijk in de VS verplicht is.

Verder bleek dat de zorgverlener geen beleid of procedures had om geregeld logbestanden te bekijken, om zo beschermde gezondheidsgegevens tegen cyberaanvallen te beschermen. "Phishing is de meestvoorkomende manier waarop hackers toegang tot zorgsystemen krijgen om gevoelige data en gezondheidsgegevens te stelen", zegt Melanie Fontes Rainer van het ministerie.

Volgens Fontes Rainer is het belangrijk dat de zorgsector waakzaam is op het beschermen van systemen en gevoelige medische dossiers. Het gaat dan om het periodiek trainen van personeel en het continu monitoren en beheren van systeemrisico's om deze aanvallen te voorkomen. "We hebben allemaal een taak in het beschermen van onze zorgsystemen en het nemen van preventieve maatregelen tegen phishingaanvallen."

Naast de bijna half miljoen dollar moet Lafourche Medical Group ook beveiligingsmaatregelen implementeren, beleid en procedures invoeren en aanpassen om aan wetgeving te voldoen en personeel dat toegang tot beschermde patiëntengegevens heeft voldoende trainen.