– Das Atlantic General Hospital hat 30.704 Patienten über einen Ransomware-Angriff benachrichtigt, der möglicherweise geschützte Gesundheitsinformationen (PHI) gefährdet, heißt es in einer Mitteilung an die Staatsanwaltschaft von Maine.
Ende Januar wurden bei einem Ransomware-Angriff verschlüsselte Dateien entdeckt, die, wie bereits berichtet, zu Netzwerkausfällen im Krankenhaus führten. Obwohl es nur begrenzte Störungen für Patienten gab, wies die Website des Krankenhauses auf vorübergehende Schließungen bestimmter Dienste hin, wie z. B. ambulante Bildgebungsdienste, begehbare Labordienste und AGHRx RediScripts.
Das Krankenhaus in Maryland leitete umgehend mit Hilfe eines externen Computerforensikunternehmens eine Untersuchung ein, um das Ausmaß und die Art des Vorfalls zu ermitteln.
„Nach Entdeckung des Vorfalls hat AGH schnell gehandelt, um den Vorfall zu untersuchen und darauf zu reagieren, die Sicherheit von AGH-Systemen zu bewerten und potenziell betroffene Personen zu identifizieren. Darüber hinaus hat die AGH die Strafverfolgungsbehörden des Bundes über das Ereignis informiert“, heißt es in der Mitteilung.
Die Untersuchung ergab, dass es unbefugten Zugriff auf bestimmte Server und Dateien bei AGH gab. Am 6. März 2023 kam das Atlantic General Hospital zu dem Schluss, dass sensible Informationen, einschließlich Name, Sozialversicherungsnummer, Finanzkontoinformationen, Krankenaktennummer, behandelnder/überweisender Arzt und Krankenversicherungsinformationen, in den betroffenen Dateien enthalten waren.
Das Krankenhaus hat den Patienten geraten, bei Kontoauszügen und Kreditauskünften auf verdächtige Aktivitäten oder Fehler wachsam zu bleiben. Das Atlantic General Hospital hat über IDX auch 12-monatige Kreditüberwachungs- und Identitätsschutzdienste angeboten.
California DHCS gibt Datenverletzung in Verbindung mit Mailing-Fehlern bekannt
Laut dem California Department of Health Care Services (DHCS) waren kürzlich bis zu 6.460 Mitglieder von Medi-Cal von einer Datenpanne betroffen, die durch einen Mailing-Fehler verursacht wurde.
DHCS stellte fest, dass ein Versandfehler des Subunternehmers Advanced Image Direct (AID), der im Auftrag des Office of State Publishing (OSP) handelte, zu einer Verwechslung des IRS-Formulars 1095-B führte, das personenbezogene Daten des falschen Empfängers enthielt.
Der Vorfall betraf MediCal-Mitglieder, die bestimmte grundlegende Mindestversicherungsanforderungen erfüllten. DHCS erfuhr von dem Fehler am 12. Januar 2023, nachdem ein Medi-Cal-Mitglied ihn gemeldet hatte. Eine interne Überprüfung ergab, dass ein Gerätefehler den Fehler verursachte, den AID korrigierte, aber anschließend fälschlicherweise die korrigierten Aufzeichnungen entsorgte und die falschen verteilte.
Nachdem der Vorfall entdeckt wurde, stoppte OSP den Druck- und Versandbetrieb und untersuchte AID, um zukünftige Fehler zu vermeiden. Die Untersuchung ergab eine wahrscheinliche Auswirkung auf 250 Datensätze, mit einer maximal möglichen Auswirkung auf 6.460 Datensätze, und OSP versuchte, die fehlgeleiteten Mailings abzurufen. AID wird Korrekturmaßnahmen ergreifen, indem es strengere Qualitätskontrollen einführt, einschließlich der Protokollierung aller Neustarts des Drucksystems, der Zuweisung einer Person für die Qualitätskontrolle, die Materialien nach jedem Neustart überprüft und genehmigt, und der Durchführung einer Qualitätsprüfung alle 30 Minuten oder 5.000 Stück.
„Der Schutz privater Informationen hat für DHCS höchste Priorität“, sagte DHCS-Direktorin Michelle Baass. „Wir nehmen jeden Verstoß gegen personenbezogene Gesundheitsdaten ernst und bedauern zutiefst alle Unannehmlichkeiten oder Probleme, die dadurch entstehen können. Wir haben unsere Anstrengungen verstärkt, um sicherzustellen, dass alle personenbezogenen Daten angemessen geschützt sind.“
Gesundheitsplan von San Mateo benachrichtigt 11K über Datenschutzverletzung
Der in Kalifornien ansässige Health Plan of San Mateo (HPSM) hat kürzlich 11.894 Personen über eine Datenschutzverletzung in seiner E-Mail-Umgebung benachrichtigt.
Am 17. Januar 2023 wurde festgestellt, dass sich ein Unbefugter durch einen erfolgreichen Phishing-Angriff Zugang zum E-Mail-Konto eines Mitarbeiters verschafft hatte.
„Mit Unterstützung einer Cybersicherheitsfirma hat HPSM festgestellt, dass sich eine nicht autorisierte Person am 17. Januar 2023 Zugang zu einem E-Mail-Konto verschafft hat“, berichtete HPSM.
„Die Beweise deuten darauf hin, dass dies ein Versuch war, die Direkteinzahlungsinformationen des Mitarbeiters in betrügerischer Weise zu ändern – und nicht auf persönliche oder Planmitgliedsinformationen zuzugreifen“, fuhr HPSM fort. „Da HPSM jedoch nicht ausschließen konnte, dass Mitgliederinformationen eingesehen wurden, haben sie alle E-Mails und Anhänge im Postfach überprüft.“
Das E-Mail-Konto enthielt eine Tabelle mit Namen, Geburtsdaten, Mitgliedsidentifikationsnummern und begrenzten Informationen über Anrufe bei der Krankenschwestern-Hotline. Um künftigen Vorfällen vorzubeugen, wurden zusätzliche Sicherheitsmaßnahmen implementiert und Mitarbeiter zur Erkennung von Phishing-Versuchen weitergebildet.
