ホスピタル・シスターズ・ヘルス・システムは、2023年8月のサイバー攻撃により、88万2,000人以上の患者の個人情報と健康情報が流出したことを通知した。
1875年に設立されたHSHSは、2,200人以上の医師と協力し、約12,000人の従業員を抱えている。また、イリノイ州とウィスコンシン州に医師診療所のネットワークと、2つの小児病院を含む15の地域病院を運営している。
この非営利医療システムは、2023年8月27日に攻撃者がHSHSのネットワークにアクセスしたことを検知し、事件が発覚したと、影響を受けた人々に送られたデータ侵害通知で述べている。
このセキュリティ侵害の後、イリノイ州とウィスコンシン州の病院全体で「事実上すべてのオペレーティング・システム」と電話システムがダウンする広範囲な障害が発生した。HSHSはまた、外部のセキュリティ専門家を雇い、攻撃を調査し、その影響を評価し、ITチームが影響を受けたシステムを復旧できるよう支援した。
「復旧のプロセスを確立するために、患者の安全を最優先しています。HSHSは9月2024日付の声明で、「第三者の専門家の支援を得て、可能な限り迅速かつ安全にシステムをオンラインに戻しています」と述べた。「私たちのような規模の医療システムは、何千ものサーバーで何百ものシステム・アプリケーションを運用しているため、復旧と調査作業の完了には時間がかかります。
今回の事件とその結果生じた機能停止は、ランサムウェア攻撃の兆候をすべて備えているが、ランサムウェアによる攻撃は行われていない。
フォレンジック調査の結果、HSHSは攻撃者が8月16日から2023年8月27日の間に侵害されたシステム上のファイルにアクセスしていたことを突き止めた。
HSHSは、「その後、これらのファイルを確認し、ファイルから情報が発見された個人に対し、順次通知しています」と述べている。
HSHSのシステム内で脅威行為者がアクセスした情報は、影響を受けた個人ごとに異なり、氏名、住所、生年月日、医療記録番号、限定的な治療情報、健康保険情報、社会保障番号、運転免許証番号の組み合わせが含まれる。
HSHSは、被害者の情報が詐欺やなりすましに使われた形跡はないとしながらも、被害に遭われた方々には、疑わしい動きがないか口座明細書や信用報告書を監視するよう警告している。HSHSはまた、今回の情報流出の影響を受けた人に対し、Equifaxのクレジット・モニタリングを1年間無料で提供するとしている。
HSHSの広報担当者は、データ漏洩がランサムウェア攻撃によるものかどうかを確認するため、本日未明に連絡を取ったが、すぐにコメントは得られなかった。
先週、コネティカット州の医療機関Community Health Center (CHC)は100万人以上の患者にデータ漏洩の警告を発し、世界最大級の独立系採血・配給機関であるNew York Blood Center (NYBC)は、ランサムウェア攻撃により一部の予約の変更を余儀なくされたと発表した。
今月初め、UnitedHealthは、昨年のChange Healthcareランサムウェア攻撃で約1億9000万人のアメリカ人が情報を盗まれたことを明らかにした。
12月下旬、米国保健福祉省(HHS)は、大規模な医療セキュリティ侵害の急増を受けて、患者の健康データを保護するためのHIPAA更新を提案した。
Comments