勒索软件攻击致杜佩奇医疗集团超65.5万人数据泄露
今年7月,伊利诺伊州最大的综合医疗集团杜佩奇医疗集团(DuPage Medical Group)遭受了至少一周的网络系统中断,现在该集团报告称,有超过65.5万人受到了数据泄露的影响。
在周二的一份声明中,芝加哥郊区的医疗组织表示,7月13日,他们经历了一次安全事故,导致其网络系统中断。
声明称,对该事件的网络取证调查确定,网络中断是由未经授权的行为者在7月12日至7月13日期间访问该医疗集团的网络造成的。
该医疗集团表示:“在专家的协助下,DMG对其系统进行了彻底而耗时的审查,以了解是否有任何患者信息可能因这起事件而受到影响。”
受影响的数据
8月17日,调查确定存储在DuPage医疗集团环境中的某些包含患者信息的文件可能已被泄露。医疗集团承认,可能受影响的信息包括姓名、地址、出生日期和诊断日期、程序和服务代码。
声明称,对于一小部分人来说,社会安全号码也可能受到影响。DMG没有证据表明任何信息因此次事件而被实际或企图滥用,这一事件并未影响金融账户数字。
为期一周的中断
包括《芝加哥论坛报》在内的多家当地新闻媒体此前曾报道,该医疗集团的安全事件始于7月13日,并持续了至少一周,导致患者无法致电医生办公室和访问在线医疗记录。
DuPage医疗集团表示,已实施了额外的网络安全措施,并正在审查现有的安全政策,以进一步防止未来发生网络安全事件,同时改进“技术路线图的各个方面,以更好地为患者服务”。
该医疗集团还表示,它已向执法当局以及州和联邦监管机构报告了这一事件。
DuPage Medical Group 发言人拒绝了Information Security Media Group要求提供有关该事件的更多详细信息的请求,包括是否涉及勒索软件。
周三,美国卫生与公众服务部(Department of Health and Human Services)的HIPAA泄密报告工具(HIPAA Breach Reporting Tool)网站上新增了这起黑客事件,该网站列出了影响500人或更多个人的健康数据泄露情况。
勒索软件之风
今年迄今为止,美国卫生与公众服务部OCR网站上公布的几起规模最大的数据泄露事件都与勒索软件事件有关。
其中包括威斯康辛州前沿皮肤科的一次漏洞,该漏洞于7月8日向美国卫生与公众服务部OCR报告了一起影响超过240万人的勒索软件攻击。
此外,医疗管理服务供应商Practicefirst Medical Management Solutions于7月1日报告了一起涉及勒索软件的漏洞,影响了120万人。
最近在医疗领域发生的其他值得注意的勒索软件事件,包括5月份对圣地亚哥Scripps Health的攻击,导致系统宕机近一个月。
这家位于加州的机构上个月向金融监管机构报告称,此次安全事故迄今已造成近1.13亿美元损失,其中包括9160万美元的收入损失。该实体报告称,预计保险将覆盖约2100万美元。
在那次事件之后,有人对Scripps Health提起几项拟议的集体诉讼。
安全公司威胁分析师布雷特·卡洛 (Brett Callow) 表示:“根据现有的有限信息,DMG事件听起来确实像是一场勒索软件攻击——而且,从统计学上讲,这是迄今为止最有可能的解释。”
“从长远来看,今年到目前为止,至少有37家医疗保健提供商和系统受到勒索软件的影响,这些事件可能会扰乱900多家医院和其他设施的患者护理。不幸的是,勒索软件问题没有快速简便的解决方案,所有软件供应商所能做的就是减少安全漏洞,提高软件安全性,以增强软件抵御网络攻击的能力。
美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。减少软件安全漏洞提高软件安全性,是现有网络防护手段的重要补充!
如何有效加强软件自身安全性?超6成的安全漏洞与代码有关,在软件开发过程中,使用静态代码检测工具可以帮助用户减少30-70%的安全漏洞,在提高软件自身安全性的同时,还能进一步强化网络抵御网络攻击的能力,从而有效保护医疗健康系统的数据。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
https://www.woocoom.com/b021.html?id=a5c9d224e6bd430f8624081e158bcc50
https://www.inforisktoday.com/medical-group-655000-affected-by-network-outage-breach-a-17434