Een Russische misdaadgroep heeft zeer gevoelige patiëntgegevens van de NHS gestolen, waaronder de resultaten van bloedtesten op het gebied van HIV en kanker, na een cyberaanval deze maand.
De groep heeft van de ene op de andere dag bijna 400 GB aan gegevens vrijgegeven uit de hack van Synnovis, een private/NHS-joint venture die pathologische diensten levert, zoals bloedonderzoek en transfusies. Zeven ziekenhuizen die worden beheerd door twee NHS-trusts, Guy’s en St Thomas’ en King’s College, werden getroffen door de ransomware-aanval.
Qilin, de Russische bende die dit voor elkaar heeft gekregen, heeft nu de gegevens vrijgegeven die zij tijdens de cyberaanval hebben verzameld. Uit het vrijgeven van privé-informatie blijkt dat Synnovis heeft geweigerd losgeld aan Qilin te betalen om zijn systemen te ontsleutelen en alle gestolen gegevens te verwijderen.
Synnovis zei dat er in samenwerking met de NHS, het National Cyber Security Center en andere partners een analyse van de gegevens gaande is, die “tot doel heeft te bevestigen of de gegevens uit de systemen van Synnovis zijn gehaald en welke informatie deze bevatten”.
Welke gegevens zijn gestolen?
De hackers beschikken over een enorme hoeveelheid gegevens die ze van Synnovis hebben gestolen en die betrekking hebben op ongeveer 300 miljoen afzonderlijke patiëntinteracties met de NHS die een onbepaald maar groot aantal jaren teruggaan, zo werd de Guardian verteld. De NHS heeft geen details vrijgegeven over wat de gegevens inhouden. Maar dat geldt ook voor de resultaten van bloedtesten die patiënten hebben ondergaan vóór een operatie, inclusief kankeroperaties en transplantaties, of omdat ze een vermoedelijke seksueel overdraagbare infectie hadden of werden getest op HIV. De buit van Qilin bevat ook gegevens die de resultaten tonen van tests die patiënten hebben ondergaan tijdens de zorg en behandeling door, volgens een goedgeplaatste bron, ‘meerdere particuliere [healthcare] aanbieders”.
De BBC meldde vrijdag dat de gegevens die Qilin van de ene op de andere dag online heeft vrijgegeven de namen van patiënten, geboortedata, NHS-nummers en “beschrijvingen van bloedtesten” omvatten.
Hoe kom ik erachter of mijn gegevens zijn verzameld?
Het is onduidelijk of en hoe patiënten erachter kunnen komen of gegevens met betrekking tot bloedonderzoek en andere interacties die zij met de NHS hebben gehad, zijn gestolen of al online zijn gepubliceerd. In een verklaring zei NHS England dat de National Crime Agency en het National Cyber Security Center bezig waren om de gegevens in de vrijgegeven bestanden te verifiëren, maar dat het onderzoek “zeer complex” was omdat de bestanden geen “eenvoudige uploads” waren en duurt weken of langer om te voltooien.
NHS Engeland zei dat het NHS-patiënten op een speciale website zou informeren, eraan toevoegend dat mensen met vragen ook de incidenthulplijn konden bellen op 0345 8778967.
Hoe kunnen deze gegevens worden gebruikt?
Criminele bendes kunnen persoonlijke gegevens die zijn gelekt bij ransomware-aanvallen gebruiken om frauduleuze activiteiten uit te voeren, zoals het verleiden van mensen tot phishing, waarbij slachtoffers worden misleid om gevoelige informatie zoals wachtwoorden te overhandigen of op een link te klikken waarmee malware wordt gedownload.
“Er bestaat een risico dat andere cybercriminelen zullen proberen de persoonlijk identificeerbare informatie in het lek te gebruiken voor identiteitsdiefstal of om phishing-aanvallen uit te voeren”, zegt James Tytler, medewerker bij S-RM, een cybersecurity-adviesbureau gespecialiseerd in het reageren op ransomware-aanvallen. . .
NHS Engeland zei dat iedereen die gecontacteerd wordt door iemand die beweert over zijn gegevens te beschikken, online of op 0300 123 2040 contact moet opnemen met Action Fraud. Verdachte e-mails moeten worden gestuurd naar report@phishing.gov.uk of een sms worden gestuurd naar 7726.
Kunt u aanspraak maken op schadevergoeding als u getroffen bent?
De gegevens van mensen worden beschermd door de Britse AVG, die vereist dat organisaties alle persoonlijke gegevens die zij bewaren, bewaren.
“Individuen die schade of leed lijden als gevolg van de schending van de AVG door een organisatie, hebben het recht om de organisatie aan te klagen voor compensatie”, zegt Kate Brimsted, partner bij het Britse advocatenkantoor Bryan Cave Leighton Paisner.
Brimsted voegde er echter aan toe dat het feit dat er sprake was van een hack en het downloaden van gegevens, niet betekende dat er sprake was van een inbreuk op de beveiliging door de betrokken organisatie.
“Een zorgvuldige analyse van de hoofdoorzaak en technisch onderzoek zullen nodig zijn voordat een schending van de Britse AVG of aansprakelijkheidskwestie bekend wordt.”
Kunnen de gegevens worden hersteld als er losgeld wordt betaald?
De gegevens over de hack waren al op het online berichtenplatform gepubliceerd en hadden toegankelijk kunnen zijn voor criminelen. Openbaarmaking geeft meestal aan dat het losgeld niet is betaald en dat de aanvallers door zullen gaan naar hun volgende slachtoffer.
Ciaran Martin, voormalig hoofd van het National Cyber Security Centre, zei dat het betalen van losgeld voor gegevens die zouden worden ‘verwijderd’ was mislukt. Uit een recente operatie van de Britse National Crime Agency tegen de LockBit-ransomwarebende bleek dat de groep gegevens bewaarde, ondanks dat ze hadden gezegd dat ze deze zouden verwijderen nadat ze de betaling hadden ontvangen.
“We weten uit de verwijdering van LockBit door de National Crime Agency dat de gegevens er zijn, of je nu betaalt of niet”, zei hij.