Gehackte zorgorganisatie heeft geen idee welke data gelekt zijn

gehackteDat kan dus ook. Het overkwam de zorgorganisatie HMG Healthcare in de V.S is de staat Texas. Hackers verschaften zich in augustus 2023 toegang tot een server waarop onversleutelde patiëntengegevens stonden. In november 2023 kwam het bedrijf er achter dat de server gecompromitteerd was. Het bedrijf schrijft in een persbericht, dat rond 10 januari 2024 verscheen,  dat bestanden op de server “waarschijnlijk” medische dossiers en persoonlijke informatie bevatten, waaronder namen, geboortedata, contactgegevens, algemene gezondheidsinformatie, informatie over medische behandelingen, social security numbers en/of arbeidsgegevens. Men stelt in het persbericht geen idee te hebben wat de hackers buit gemaakt hebben. Vermoedelijk zal het dan wel gaan om de hele inhoud van de database. Het bedrijf zelf geeft geen duidelijkheid over aantallen dossiers. Een privacy-organisatie in Texas liet weten dat HMG Healthcare aan de openbaar aanklager van de staat Texas bekend maakte dat het mogelijk om 75.000 mensen gaat.

Schandalig verstopt

Het persbericht van HMG Healthcare is vernuftig verstopt op de homepage van deze organisatie. Op de één na onderste regel van deze webpagina staat naast het item Privacy Notice het item Privacy Update. Als je daarop klikt krijgt men pas de mededeling van de CEO te zien dat er een hack plaats vond gedurende vier maanden. Plus de mededeling wat in handen van de hackers is gekomen. Ook valt in de verklaring op dat het bedrijf op de website geen enkele melding maakt  van het aanbieden van aanvullende gratis monitoring van creditcardfraude – of hersteldiensten aanbiedt aan de betrokkenen bij identiteitsdiefstal. Deze handelswijze is zeer ongebruikelijk en valt publicitair heel slecht. Het ruimhartig en openlijk toegeven van het eigen falen en mitigerende maatregelen afkondigen is nog altijd het beste beleid.

Raadselachtige onwetendheid

Het bedrijf laat in haar persbericht weten:

“HMG attempted to identify the specific data that was compromised but we have now determined that such identification is not feasible.”

Op de website van privacy-organisatie Databreaches.net verwondert men zich dan ook erover waarom het niet haalbaar is om te bepalen welke data gecompromitteerd zijn. Men vraagt zich dan ook af of dat er wel logging-bestanden bestonden/bestaan of dat de hackers misschien in staat waren de logging te omzeilen of onklaar te maken. HMG maakt ook niet duidelijk of het om ransomware(=gijzelsoftware) gaat waar in de tussentijd losgeld voor betaald is.

Onversleutelde data

Uit de berichtgeving komt naar voren dat er sprake was van een groot aantal zeer privacygevoelige medische en niet medische data. Het komt dan ook heel vreemd voor dat die data op de betreffende server niet op enigerlei wijze versleuteld waren. Versleuteling maakt bij eventuele inbraak in systemen het voor de hackers alsnog moeilijk bij de gevoelige informatie te komen. Versleuteling hoeft op zich voor de databeschikbaarheid binnen de zorginstellingen geen probleem te zijn. Met de huidige hard- en software kan dat met een te verwaarlozen vertraging plaats vinden.

Lessen   

Dit voorval leert ons weer het nodige over digitale medische dossiervorming. In de eerste plaats is een afdoend cybersecurity-beleid van zeer groot belang. Naast beveiligings-/detectiesoftware dient men ook data op de gegevensdrager(s) te versleutelen. Er bestaat thans goede encryptie-/decryptie-software. Daarnaast dient de logging op orde te zijn waardoor te achterhalen is wie wat deed met bepaalde data.

Tenslotte laat HMG Healthcare de slechtst mogelijke handelwijze zien die je als bedrijf kunt hanteren bij een al dan niet omvangrijk datalek.

W.J. Jongejan,

Afbeelding van Clker-Free-Vector-Images via