Diese Woche bringt einige positive Neuigkeiten für Krankenhäuser und Gesundheitssysteme im Südosten der USA, die auf Blutlieferungen angewiesen sind. Kritische Netzwerksysteme sind wieder online, nachdem der Ransomware-Angriff vom 1. August den Lieferanten OneBlood lahmlegte. Darüber hinaus wurde der spektakuläre Diebstahl geschützter Gesundheitsdaten eines Richters des Obersten Gerichtshofs im Jahr 2019 durch einen mutmaßlichen Insider vor einem Bundesgericht verhandelt und endete mit einer Verurteilung.
In anderen Nachrichten hat das US-Gesundheitsministerium eine Meldung über einen Datendiebstahl von Change Healthcare erhalten. Darin wird die Mindestzahl der betroffenen Personen – 500 – angegeben. Der Vorfall ereignete sich, nachdem eine Ransomware-Attacke zu einem großen landesweiten Ausfall der Schadenszahlungen geführt hatte, wodurch die medizinische Versorgung gestört und die geschützten Gesundheitsdaten von potenziell Millionen von Patienten offengelegt wurden.
Die kritische Software von OneBlood online
Der in Orlando ansässige Blutlieferant sagte, sein Netzwerk sei nach einem Ransomware-Angriff teilweise wiederhergestellt worden und rief zu Blutspenden auf, da der tropische Sturm Debby die Region bedroht, so ein Bericht aus CBS Nachrichten Miami am Montag.
„Die Priorität bestand darin, das zur Verwaltung der Blutversorgung verwendete Softwaresystem wieder online zu bringen, und das Team, das rund um die Uhr gearbeitet hat, hat dies geschafft“, sagte Susan Forbes, Senior Vice President für Unternehmenskommunikation und Öffentlichkeitsarbeit bei OneBlood, in einem Update am Dienstag.
„Derzeit läuft unsere Verarbeitung und Verteilung von Blutprodukten an Krankenhäuser nahezu normal“, sagte sie.
OneBlood, das Blut an mehr als 250 Krankenhäuser im Südosten der USA verteilte, wurde in den letzten Monaten zum dritten Ziel von Ransomware-Angriffen auf Blutlieferanten. Dies veranlasste die American Hospital Association, US-Krankenhäuser zu warnen, Notfallpläne für Blutvorräte zu erstellen.
“Die Blutversorgung kann nicht als selbstverständlich angesehen werden”, sagte Forbes in der Update zum Ransomware-Ereignis.
„Jeder von uns kann im Handumdrehen eine Bluttransfusion erhalten.“
Das Unternehmen gab in seinen FAQs an, dass ihm noch keine Informationen darüber vorliegen, ob bei dem Angriff vom 29. Juli persönliche Daten von Spendern gestohlen wurden.
Änderungsberichte an HHS
Fast fünf Monate, nachdem Change Healthcare durch einen Ransomware-Angriff lahmgelegt wurde, meldete die Muttergesellschaft United Health Group den Datenverstoß dem HHS Office for Civil Rights.
UHG berichtete, dass 500 Personen betroffen waren. Der erforderliche Bericht über den Datenverstoß erfolgte jedoch, nachdem die Clearingstelle für Gesundheitszahlungen damit begonnen hatte, ihre Mitteilung über Verstöße am 31. Juli direkt an betroffene Patienten.
Man geht davon aus, dass das Ausmaß des Datendiebstahls Millionen von Patienten betroffen hat. Im Juni erklärte OCR, dass Change dafür verantwortlich sei, die betroffenen Patienten über den Datendiebstahl zu informieren.
In diesem Monat verschickte das Unternehmen Benachrichtigungen an Kunden, deren Mitglieder- oder Patientendaten von dem Angriff betroffen waren.
Die Agentur hatte bereits zuvor eine Untersuchung zu dem Datenleck eingeleitet, gab jedoch kürzlich bekannt, dass die Datenanalyse zur Erfassung des Ausmaßes des Datenlecks noch im Gange sei.
„Der Bericht von Change Healthcare an OCR identifiziert 500 Personen als ungefähre Anzahl der betroffenen Personen“, sagte die Agentur zu ihrem Change Healthcare Cybersecurity Incident FAQ-Seite.
„Change Healthcare ermittelt noch immer die Zahl der betroffenen Personen“, sagte die Agentur und merkte an, dass die Informationen auf dem HHS Breach Portal geändert würden, wenn Change Healthcare die Gesamtzahl der betroffenen Personen aktualisiere.
Am 1. Mai erklärte Andrew Witty, CEO der UnitedHeath Group, dem Kongress seine Gründe für die Zahlung eines Lösegelds in Höhe von 22 Millionen US-Dollar in Bitcoin. Er fügte hinzu, dass das Unternehmen bis Mitte März keinen Zugriff auf die exfiltrierten Daten gehabt habe.
„Wir arbeiten unermüdlich daran, jedes mögliche Detail aufzudecken und zu verstehen, das wir nutzen werden, um unsere Cyberabwehr stärker denn je zu machen“, sagte er den Gesetzgebern.
Gerechtigkeit für Ginsburgs Datenschutzverletzung
Letzte Woche verurteilte ein Bundesgericht Trent James Russell aus Arlington im US-Bundesstaat Virginia. Der ehemalige Armee-Sanitäter, der als Koordinator für Organspenden und Transplantationen arbeitete, war im Juli 2019 schuldig, auf die Gesundheitsinformationen der Richterin am Obersten Gerichtshof der USA, Ruth Bader Ginsburg, zugegriffen und diese öffentlich gemacht zu haben.
Russell wurde vorgeworfen, einen Screenshot ihrer Krebsbehandlungsinformationen, einschließlich der Daten ihrer Strahlenbehandlung, veröffentlicht zu haben.
Der Screenshot tauchte erstmals auf dem Bulletin Board 4chan in einer Diskussion auf, in der behauptet wurde, die am 18. September 2020 verstorbene Richterin Ginsburg sei im Jahr zuvor im Rahmen einer Verschwörung gestorben, die den damaligen Präsidenten Donald Trump an der Wahl eines neuen Richters hindern sollte.
Anschließend begann das Bild im Internet zu kursieren.
Russell plädierte auf nicht schuldig und sagte, er habe nie auf ihre Krankenakten im George Washington University Hospital in Washington, DC, zugegriffen, wo sie einer Strahlen- und anderen Krebsbehandlung unterzogen wurde, eine WRAL-Neuigkeiten heißt es in dem Bericht.
Er sagte aus, er und seine Kollegen hätten Passwörter weitergegeben, um technische Anforderungen zu umgehen, die den Spendenprozess verlangsamten, so die GeschichteDie Staatsanwaltschaft gab jedoch an, er habe versucht, Beweise zu vernichten, nachdem sein Fernzugriff deaktiviert worden war und er nach Nebraska gezogen war.
Russell droht bei der Urteilsverkündung am 7. November eine Höchststrafe von 20 Jahren Gefängnis.
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, DC statt. Mehr erfahren und registrieren.
