Databrud i sundhedssektoren i 2024 afslørede 186 millioner registreringer på tværs af 720 hændelser
I 2024 stod den amerikanske sundhedssektor over for svimlende 720 rapporterede databrud, hvilket kompromitterede anslået 186 millioner brugerregistreringer. Disse brud, rapporteret til Department of Health and Human Services Office for Civil Rights (HHS OCR), fremhæver de voksende cybersikkerhedsrisici, som sundhedsorganisationer står over for. Mens antallet af afslørede registreringer er massivt , kan det faktiske antal af berørte personer være lavere, da nogle kan være blevet påvirket af flere brud.
De kompromitterede data omfattede følsomme personlige og medicinske oplysninger såsom navne, kontaktoplysninger, CPR-numre, fødselsdatoer, forsikringsdata, lægejournaler og økonomiske oplysninger. Sundhedsudbydere var de mest målrettede enheder , der tegnede sig for ca. 520 hændelser. Forretningsforbindelser til sundhedsorganisationer var også hårdt ramt, med 120 brud rapporteret. Næsten 100 hændelser involverede sundhedsplaner.
Indholdsfortegnelse
Hacking og it-hændelser leder flokken
Størstedelen af rapporterede brud – tæt på 600 – blev kategoriseret som hacking eller IT-hændelser, som ofte inkluderer ransomware-angreb . Uautoriseret adgang eller offentliggørelse var den næsthyppigste årsag til brud. Netværksservere var det primære mål i omkring 450 hændelser, mens e-mail-systemer - ofte brugt til phishing- og malware-levering - var involveret i 160 brud.
Statsfordeling af brud
HHS OCR-databasen afslørede, at Texas og Californien oplevede det højeste antal hændelser, med omkring 60 brud hver. Andre stater med betydelige overtrædelsestal inkluderede New York (46), Illinois (43), Florida (37), Pennsylvania (31), Ohio (29), Massachusetts (29), Tennessee (25) og Michigan (22).
Højprofilerede brud fra 2024
Blandt de rapporterede overtrædelser skilte et ransomware-angreb på Change Healthcare sig ud som det største og påvirkede cirka 100 millioner individer. Dette brud alene tegnede sig for mere end halvdelen af de kompromitterede registreringer, der blev rapporteret i 2024.
Andre bemærkelsesværdige brud omfatter:
- Kaiser Permanente : 13,4 millioner poster kompromitteret
- Ascension Health : 5,5 millioner optegnelser
- HealthEquity : 4,3 millioner poster
- Concentra Health Services : 3,9 millioner registreringer
- Centers for Medicare & Medicaid Services : 3,1 millioner poster
- Acadian Ambulance Service : 2,8 millioner poster
- Sav-Rx (A&A Services) : 2,8 millioner poster
- WebTPA : 2,5 millioner poster
- Integris Health : 2,3 millioner poster
Andre sundhedsorganisationer stod også over for brud på over en million individer, herunder Medical Management Resource Group (2,3 millioner), Summit Pathology (1,8 millioner) og Geisinger (1,2 millioner).
Den stigende trussel mod sundhedsvæsenet
Sundhedsindustrien er fortsat et primært mål for cyberkriminelle på grund af de følsomme og værdifulde data, den gemmer. Ransomware- angreb, phishing-kampagner og udnyttelse af it-sårbarheder er fortsat de primære metoder, som angribere bruger til at få adgang til sundhedssystemer. Disse hændelser fremhæver det kritiske behov for robuste cybersikkerhedsforanstaltninger i sektoren, herunder forbedret netværkssikkerhed, medarbejderuddannelse for at bekæmpe phishing og stærkere autentificeringsprotokoller.
I takt med at sundhedsorganisationer fortsætter med at digitalisere deres drift og stole på cloud-baserede platforme, forventes risikoen for databrud at vokse. Dette understreger behovet for proaktive sikkerhedsforanstaltninger, trusselsovervågning og hurtige reaktionsplaner for at afbøde skaden forårsaget af cyberangreb.
Overtrædelserne i 2024 tjener som en skarp påmindelse om, at selv velkendte organisationer kan blive ofre for angreb, hvilket forårsager omfattende konsekvenser for både patienter og udbydere. Med den personlige og økonomiske indsats så høj, må sundhedsindustrien prioritere databeskyttelse for at være foran cyberkriminelle i de kommende år.