Een Amerikaanse zorgverlener die in 2021 het slachtoffer van een ransomware-aanval werd heeft een schikking met de Amerikaanse staat New York getroffen voor in totaal 1,65 miljoen dollar (pdf). Het Refuah Health Center heeft meerdere klinieken en 'mobile units' die allerlei zorg verlenen. Het ontvangt hiervoor geld van de federale Amerikaanse regering.

In mei 2021 werden systemen van de zorgverlener getroffen door een ransomware-aanval. Uit onderzoek bleek dat de aanvallers waren binnengekomen via een systeem dat de zorgverlener gebruikt voor het bekijken van de videobeelden van interne beveiligingscamera's. De toegang tot het systeem was beveiligd met een statische viercijferige code.

Via dit systeem wisten de aanvallers, met beheerdersgegevens die ze tijdens de aanval hadden gestolen, toegang tot het netwerk van de zorgverlener te krijgen. Het door de aanvallers gebruikte account was van een it-leverancier waarvan het wachtwoord al elf jaar lang niet was gewijzigd. Daarnaast werd er al zeven jaar lang niet meer met de it-leverancier samengewerkt, maar was het account niet uitgeschakeld of verwijderd. Tevens werd er voor het account geen multifactorauthenticatie gebruikt.

Via het netwerk hadden de aanvallers toegang tot allerlei systemen met patiëntgegevens, alsmede e-mails van personeel en een patiëntendatabase. Veel van deze bestanden waren niet versleuteld en toegankelijk voor een aanvaller die toegang tot het gedeelde netwerk had. Toen de zorgverlener de aanval ontdekte was er al een terabyte aan data buitgemaakt. Naast diefstal van data werden ook allerlei systemen versleuteld.

De zorginstelling heeft geen idee welke bestanden door de aanvallers zijn buitgemaakt. Er waren geen systemen aanwezig om dergelijke activiteit te loggen. Sporen die mogelijk de omvang van het datalek hadden kunnen aangeven gingen verloren toen systemen werden herbouwd om de herhaaldelijke toegang van de aanvallers te blokkeren en diensten en systemen voor de patiëntenzorg te herstellen.

De aanvallers dreigden de gestolen informatie openbaar te maken tenzij het ziekenhuis zou betalen. Daarbij werd ook een screenshot met informatie van 34 patiënten getoond die alleen in de database voorkwamen, maar de zorgverlener besloot niet te onderzoeken of de aanvallers ook toegang tot de database hadden gehad. Uiteindelijk stelde de zorgverlener vast de aanvallers gegevens van meer dan 270.000 patiënten hadden gestolen. Een groot deel van de patiënten werd niet over het datalek ingelicht.

Schikking

De Amerikaanse staat New York en het Refuah Health Center zijn nu een schikking overeengekomen. Als onderdeel daarvan zal de zorgverlener 1,2 miljoen dollar in de eigen cybersecurity investeren. Daarnaast moet de organisatie 450.000 dollar in boetes en kosten betalen. Daarvan is 100.000 dollar voorwaardelijk als de zorgverlener de 1,2 miljoen voor de eigen informatiebeveiliging heeft uitgegeven. Zo moet Refuah onder andere multifactorauthenticatie implementeren, patiëntgegevens versleutelen en periodiek wachtwoorden wijzigen.