Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Медицинские организации: утечки конфиденциальной информации
В этом дайджесте мы приводим выборку новостей об утечках конфиденциальной информации (имен, номеров социального страхования, дат рождения, диагнозов и историй болезни, платежной и банковской информации) из организаций сферы здравоохранения. Медицинские организации по-прежнему остаются одной из основных целей хакеров, охотящихся за конфиденциальной информацией.
В августе этого года хакеры атаковали некоммерческую медицинскую организацию в штате Огайо, США – Memorial Health System. В результате, хакерам удалось украсть базы с данными более 200 тысяч пациентов сети клиник, включающими такие персональные данные как номера социального страхования, имена и даты рождения. Помимо этого, из-за приостановки доступа сотрудников к информационным системам Memorial Health System в компании были вынуждены отменить все запланированные и экстренные хирургические операции, а также рентгенологические обследования.
Также в августе были украдены персональные данные пациентов расположенного в ОАЭ филиала глазной клиники Moorfields, принадлежащей Национальной службе здравоохранения Великобритании (NHS) с головным офисом в Лондоне. Хакеры опубликовали информацию о том, что смогли извлечь 60 ГБ данных о пациентах с локального сервера филиала в Дубай, за которые Moorfields отказались платить выкуп. Злоумышленники уже разместили в общем доступе снимок экрана с некоторыми файлами конфиденциальной информации и несколько таблиц 2018 и 2019 года, содержащих сведения об именах, номерах телефонов, медицинских назначениях, а также платежную информацию.
Американские центры аллергологии Atlanta Allergy & Asthma уведомили своих пациентов об произошедшем еще в январе инциденте информационной безопасности. Оказались скомпрометированы выложенные в общий доступ более 2 ГБ файлов с конфиденциальной информацией 9851 пациентов. Персональные данные части пациентов были удалены хакерами, включая имена и фрагментарно даты рождения, номера социального страхования, номера банковских счетов, диагнозы, информация о стоимости лечения, назначения, даты оказания услуг и пр. Хакеры опубликовали в даркнет персональные данные отказавшихся платить выкуп клиентов клиники.
Кибератака на Scripps Health (некоммерческого поставщика медицинских услуг в Калифорнии, США, который управляет пятью больницами и 19 амбулаторными учреждениями) с использованием программ-вымогателей, произошедшая в мае 2021 г., стала одной из самых дорогостоящих из известных на сегодняшний день. Медицинская организация к концу 2021 года может потерять не менее 106,8 миллиона долларов, которые не включают потенциальные убытки из-за судебных разбирательств с пострадавшими от утечки конфиденциальной информации. Основная часть убытков, составляющих 91,6 миллиона долларов, уже была понесена из-за упущенной выгоды в результате простоя в работе клиник в течение четырех недель, которые потребовались организации для восстановления работы информационных систем, стоившего Scripps еще 21,1 миллиона долларов. Медицинской организации смогли вернуть только 5,9 миллиона долларов за счет своего страхового полиса. В результате кибератаки утекли персональные данные приблизительно 150 000 пациентов.
Кроме приведенных инцидентов информационной безопасности, в 2021 году произошел ряд попыток кибератак, в которых злоумышленникам не удалось проникнуть в системы медицинских учреждений и украсть конфиденциальную информацию. Такой, например, была кибератака на Sanford Health, одну из крупнейших компаний в сфере здравоохранения в США.
Количество зарегистрированных инцидентов информационной безопасности в сфере здравоохранения растет пятый год подряд. В 2020 году их уже было на 42% больше, чем в предыдущем, и в 2021 году тенденция роста количества подобных киберинцидентов сохраняется.