Atrium Health gab am Freitag auf seiner Website bekannt, dass es Benachrichtigungen an bestimmte Patienten und Mitarbeiter sendet, die möglicherweise von einer bösartigen E-Mail betroffen waren, die am 29. April an einige Mitarbeiter des Gesundheitssystems gesendet wurde.
Das in Charlotte im Bundesstaat North Carolina ansässige Gesundheitssystem wies darauf hin, dass seine elektronischen Krankenakten vom E-Mail-System getrennt seien und von dem Vorfall nicht betroffen seien.
WARUM ES WICHTIG IST
Atrium, Teil von Advocate Health, dem drittgrößten gemeinnützigen Gesundheitssystem in den Vereinigten Staaten, erfuhr kürzlich, dass sich ein unbefugter Dritter über den ursprünglichen Phishing-Angriff vom 29. April Zugriff auf eine begrenzte Anzahl von E-Mail-Konten der Mitarbeiter verschafft hatte.
Auf Grundlage einer laufenden Untersuchung erklärte das Gesundheitssystem, dass die unbefugte Partei offenbar einen Tag lang, nämlich bis zum 30. April, Zugriff auf das betroffene Konto hatte. Das Gesundheitssystem erklärte, dass sich die Aktivität der unbefugten Drittpartei nicht auf medizinische oder gesundheitsbezogene Inhalte in den E-Mail-Postfächern der Mitarbeiter konzentrierte.
Atrium, das in Winston-Salem, North Carolina, Georgia und Alabama tätig ist, verschickt Benachrichtigungsschreiben an Patienten und Mitarbeiter, deren persönliche Daten bei dem Vorfall möglicherweise offengelegt worden sein könnten.
Zu den Informationen, auf die bei dem Social-Engineering-Angriff möglicherweise zugegriffen wurde, gehören:
- Vor- und/oder Nachname.
- StraĂźenadresse.
- E-Mail-Adresse.
- Sozialversicherungsnummer.
- Geburtsdatum.
- Krankenaktennummer.
- FĂĽhrerschein oder staatlich ausgestellte Identifikationsnummer.
- Bank- oder Finanzkontonummern oder -informationen.
- Behandlung/Diagnose.
- Rezept.
- Informationen zur Krankenversicherung und/oder zu den Behandlungskosten, wie etwa Patientenidentifikationsnummern und Konto- oder Versicherungsnummern der Krankenversicherung.
Um das Risiko ähnlicher Vorfälle zu minimieren, bietet Atrium seinen Mitarbeitern zusätzliche Schulungen und Trainings zum Thema Phishing an und stellt den am Angriff Beteiligten kostenlose Kreditüberwachungs- und Identitätsschutzdienste zur Verfügung.
DER GRĂ–SSERE TREND
Phishing-E-Mails sind die beliebteste Angriffsart und können den Zugriff auf die E-Mail-Konten von Mitarbeitern ermöglichen. Bedrohungsakteure können dann Netzwerke, Erstattungszahlungssysteme und mehr angreifen.
Bedrohungsakteure zielen auch auf Helpdesks für Gesundheitsinformationstechnologie ab, indem sie sich als Mitarbeiter ausgeben, um das Zurücksetzen von Passwörtern für die Konten der Mitarbeiter zu veranlassen. Im Juni veröffentlichten das Federal Bureau of Investigation und das Department of Health and Human Services eine Warnung vor Cyber-Bedrohungsakteuren, die E-Mails und Telefonanrufe nutzen, um Gesundheitszahlungen zu stehlen.
Das FBI und das HHS erklärten, dass sie, nachdem sie sich als Mitarbeiter des Finanzzyklus oder der Verwaltung ausgegeben hatten, um Zugriff zu erhalten, legitime Zahlungen umgeleitet hätten.
„Phishing ist die häufigste Methode, mit der sich Hacker Zugang zu Gesundheitssystemen verschaffen, um vertrauliche Daten und Gesundheitsinformationen zu stehlen“, sagte Melanie Fontes Rainer, Direktorin des Office for Civil Rights, im Dezember, als das OCR seinen ersten Vergleich im Rahmen des HIPAA wegen eines Phishing-Angriffs erzielte.
Während „Atrium sich entschuldigt, nachdem Mitarbeiter durch E-Mail-Betrug getäuscht wurden“, bemerkte ein Bericht In Der Charlotte Observerhat der Aufstieg der generativen künstlichen Intelligenz die Angriffe nur verstärkt und die Qualität und Quantität von Phishing-E-Mails verbessert.
ORIENTIERTE DATEN
„Atrium Health ist sich weder eines versuchten noch eines tatsächlichen Missbrauchs von Patienten- oder persönlichen Daten bewusst und es liegen keine Hinweise darauf vor, dass infolge des Phishing-Angriffs persönliche Daten eingesehen wurden“, hieß es in einer Erklärung des Anbieters.
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, DC statt. Mehr erfahren und registrieren.
