PharMerica und seine Muttergesellschaft BrightSpring Health Services, Inc. gaben bekannt, dass sie am 14. März von verdächtigen Aktivitäten in ihrem Computernetzwerk erfahren hatten. Eine interne Untersuchung ergab, dass der unbekannte Dritte vom 12. bis 13. März auf Computersysteme zugegriffen und möglicherweise persönliche Informationen erhalten hat.
PharMerica veröffentlichte auf seiner Website eine Erklärung, in der es hieß, dass bei einer Untersuchung eines Verstoßes gegen sein Netzwerk „eine Datenpopulation identifiziert wurde, deren persönliche Daten und begrenzte medizinische Informationen – Namen, Geburtsdaten, Sozialversicherungsnummern, Medikamentenlisten und Krankenversicherungsinformationen – offengelegt wurden.“ “
In seinem Brief vom 12. Mai an betroffene Patienten und Nachlassverwalter verstorbener Patienten, der seiner beim Bundesstaat Maine eingereichten Meldung über Datenschutzverletzungen beiliegt, empfiehlt das in Louisville, Kentucky, ansässige Unternehmen den Nachlassverwaltern verstorbener Patienten, eine Kopie des Nachlasses einer verstorbenen Person anzufordern Kreditauskunft und Vermerk „Verstorben – Kein Kredit ausstellen“ oder um Benachrichtigung bitten, wenn ein Kreditantrag gestellt wird.
War es Ransomware?
Databreaches.net verfolgt den Verstoß seit Anfang April und behauptet, die Veröffentlichung habe mit einer neueren Ransomware-Gruppe „Money Message“ kommuniziert, die den Beweis erbracht habe, dass sie Daten mit Screencaps erpresst habe.
Einem Story-Update zufolge behauptete Money Message, über 2 Millionen PharMerica- und BrightSpring-Gesundheitsdaten einschließlich Sozialversicherungsnummern aus 400 Datenbanken zu verfügen. Berichten zufolge sagte die Gruppe auch, sie werde „diese Informationen alle 48 Stunden in geometrischer Reihenfolge veröffentlichen“, was Databreaches.net nach eigenen Angaben auch getan habe.
Die Gruppe gibt an, den Betrieb von PharMerica nahezu eingestellt zu haben, doch das Unternehmen gibt weder in seinem bei Maine eingereichten Musterbrief noch auf seiner Website an, dass der Betrieb bis heute unterbrochen wurde.
Pharmaunternehmen und Drittparteirisiko
Die Häufigkeit von Cyberangriffen nimmt jedes Jahr zu, doch COVID-19 löste in der Pharmaindustrie eine eigene Panik aus.
In einem Bericht von Black Kite aus der Zeit der Pandemie heißt es, dass Pharmaunternehmen einem hohen Risiko für Erpressungsangriffe ausgesetzt seien, da eine Schließung des Betriebs große Folgen für die Öffentlichkeit haben würde.
„Eine Unterbrechung der Herstellung lebensrettender Medikamente oder Therapien wäre für viele katastrophal. Ein Cyberangriff auf ein Pharmaunternehmen könnte für Verbraucher Leben oder Tod bedeuten“, stellten die Forscher fest.
„Stellen Sie sich vor, ein Ransomware-Angriff würde einen hergestellten COVID-19-Impfstoff als Geisel oder die Produktion lebenswichtiger Chemotherapeutika stoppen“, sagte Bob Maley, Chief Security Officer von Black Kite, in der Ankündigung des Berichts.
Der Datenverstoß bei PharMerica ist möglicherweise der größte, der in diesem Jahr bisher gemeldet wurde, und könnte die größte Anzahl von Personen – und deren Nachkommen – betreffen.
Im Februar meldete die Regal Medical Group in Kalifornien einen großen Datenverstoß im Zusammenhang mit einem Ransomware-Vorfall im Dezember, von dem nach Angaben des Anbieters mehr als 3,3 Millionen Patienten betroffen waren, so das Portal für Bürgerrechtsverletzungen des US-Gesundheitsministeriums.
Im März meldete das Telegesundheitsunternehmen Cerebral einen Datenverstoß im Zusammenhang mit Pixel-Trackern und gab an, die Daten von mehr als 3,1 Millionen Patienten zwischen Oktober 2019 und Januar 2023 ohne Einholung der HIPAA-Zustimmung weitergegeben zu haben.
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: [email protected]
Healthcare IT News ist eine Publikation von HIMSS Media.
