Únik dat v Ascension Healthcare odhalil záznamy 430 000 pacientů

Stav kybernetické bezpečnosti v zdravotnictví je znepokojivý. Zdravotnické organizace, ať už neziskové či ziskově orientované, shromažďují obrovské množství dat. A nejde jen o telefonní čísla, adresy nebo e-maily, ale i citlivé informace, jako jsou lékařské záznamy, pojišťovací údaje a další. Tato data jsou extrémně cenná, což z nich dělá hlavní cíl hackerů.

Horší je, že mnoho zdravotnických institucí často zanedbává kybernetickou bezpečnost a vnímá ji jako něco druhořadého. Jen v roce 2024 zaznamenal průzkumník v oblasti kybernetické bezpečnosti 1 160 narušení v zdravotnictví, která odhalila 305 milionů záznamů pacientů. To představuje 26% nárůst ve srovnání s předchozím rokem.

Na tomto pozadí Ascension, katolický zdravotní systém se sídlem v Missouri se 142 nemocnicemi a 142 000 zaměstnanci, nedávno zveřejnil, že v prosinci 2024 došlo k úniku dat, který ohrozil osobní a zdravotní informace více než 430 000 pacientů.

Podle oznámení Ascension o narušení zabezpečení se kompromitace začala 5. prosince 2024, kdy síť zjistila, že „data pacientů mohla být zapojena do potenciálního bezpečnostního incidentu“. Do 21. ledna 2025 vyšetřovatelé zjistili, že Ascension „neúmyslně zveřejnil informace bývalému obchodnímu partnerovi“ a že útočníci pravděpodobně ukradli data od tohoto partnera prostřednictvím chyby v jeho softwaru. Jinými slovy, záznamy pacientů přešly ze systému Ascension do systému třetí strany a následně byly odčerpány kyberzločinci.

Útočníci získali širokou škálu informací. Byly odhaleny demografické a finanční údaje pacientů, jména, poštovní adresy, telefonní čísla, e-mailové adresy, data narození, rasa, pohlaví a čísla sociálního zabezpečení. Ještě znepokojivější je, že únik zahrnoval klinická data z hospitalizací, včetně jmen lékařů, dat přijetí a propuštění, kódů diagnóz a procedur, čísel lékařských záznamů a pojišťovacích údajů. To jsou právě ta data, která mohou zločinci zneužít k podvodům nebo krádeži identity.

Ascension nahlásil únik regulačním orgánům prostřednictvím podání HHS dne 28. dubna 2025, které ukazuje 437 329 postižených pacientů. Pro srovnání, společnost dříve zveřejnila dopad v podáních jednotlivých států. Například 114 692 pacientů v Texasu a 96 obyvatel Massachusetts bylo individuálně informováno o expozici. Ascension v reakci na to nabízí postiženým dvěma letům bezplatných služeb monitorování identity (sledování úvěrů, konzultace o podvodech a obnova identity).

Ascension je velký neziskový zdravotní systém, jeden z největších v USA, provozující 142 nemocnic v Severní Americe. Společnost nejmenovala třetího partnera, ale jeho popis odpovídá dodavateli, jehož software pro zabezpečený přenos souborů byl narušen.

Načasování se shoduje s řadou nedávných útoků ransomware Cl0p. Cl0p veřejně převzal odpovědnost za zneužití chyby zero-day v produktech pro zabezpečený přenos souborů Cleo, čímž ukradl data od desítek organizací po celém světě. Ačkoliv Ascension samotný nebyl přímo zasažen ransomwarem, jeho data se mohla dostat do stejné útočné kampaně.

Pacientům a zaměstnancům Ascension nejsou úniky dat neznámé. V květnu 2024 útok ransomware Black Basta narušil vlastní síť Ascension. Tento incident, vysledovaný zpět k jedinému zaměstnanci, který otevřel škodlivý soubor, vedl k exfiltraci dat patřících téměř 5,6 milionům lidí.

Důsledky byly závažné. Nemocnice ztratily přístup k digitálním záznamům, což donutilo klinické pracovníky zaznamenávat životní funkce, léky a pokyny na papír. Volitelné procedury a některé schůzky byly pozastaveny a pohotovostní služby byly přesměrovány do nepostižených zařízení, aby se předešlo zpožděním v péči.

Kontaktovali jsme Ascension s žádostí o komentář k tomuto článku, ale do uzávěrky jsme nedostali odpověď.

Pokud si myslíte, že jste byli zasaženi, nebo chcete být opatrní, zde je několik kroků, které můžete podniknout, abyste se ochránili před únikem dat Ascension:

\n
1. Dávejte si pozor na phishingové podvody a používejte silný antivirový software: S přístupem k vašemu e-mailu, telefonnímu číslu nebo identifikačním dokladům mohou útočníci z Ascension vytvářet přesvědčivé phishingové e-maily, které se vydávají za poskytovatele zdravotní péče nebo banky. Tyto e-maily mohou obsahovat škodlivé odkazy určené k instalaci malwaru nebo krádeži přihlašovacích údajů. K ochraně použijte silný antivirový program.
\n
2. Odstraňte svá data z internetu pomocí služby pro odstraňování osobních údajů: Čím více jsou vaše osobní údaje online vystaveny, tím snadněji je mohou podvodníci použít proti vám. Po úniku dat Ascension zvažte odstranění vašich informací z veřejných databází a webů pro vyhledávání osob.
\n
3. Ochrana proti krádeži identity: Hackery nyní mají přístup k vysoce hodnotným informacím z úniku dat Ascension, včetně čísel sociálního zabezpečení a bankovních informací. To z vás dělá hlavní cíl krádeže identity. Můžete zvážit investování do ochrany proti krádeži identity, která vám může také pomoci zamrazit vaše bankovní a kreditní karty, abyste zabránili dalšímu neoprávněnému používání ze strany zločinců.
\n
4. Nastavte si upozornění na podvody: Požádáním o upozornění na podvody upozorníte věřitele, že potřebují další ověření před vydáním úvěru na vaše jméno. Požádat o upozornění na podvody můžete u kteréhokoli ze tří hlavních úvěrových úřadů; oni upozorní ostatní. To přidá další vrstvu ochrany, aniž by zcela zablokoval přístup k úvěru.
\n
5. Monitorujte své úvěrové zprávy: Pravidelně kontrolujte své úvěrové zprávy prostřednictvím AnnualCreditReport.com, kde si můžete jednou ročně nebo častěji (pokud se obáváte podvodu) vyžádat bezplatné zprávy od každého úřadu. Včasné odhalení neoprávněných účtů může zabránit větším finančním škodám.
\n
6. Změňte hesla a používejte správce hesel: Aktualizujte hesla na všech účtech spojených s kompromitovanými daty. Používejte jedinečná hesla, která se těžko hádají, a nechte správce hesel, aby za vás odvedli těžkou práci. Opakovaně používaná hesla jsou po únicích dat snadnou kořistí.
\n
7. Dávejte si pozor na útoky sociálního inženýrství: Hackery mohou použít ukradené údaje, jako jsou jména nebo data narození z úniků dat v telefonních podvodech nebo falešných hovorech zákaznické podpory, které vás mají přimět k odhalení citlivějších informací. Nikdy nesdělujte osobní údaje v neoslovených hovorech nebo e-mailech.
\n

Útočníci se opakovaně zaměřovali na Ascension, ale zdá se, že se společnost z chyb neučí. Kdyby se jednalo o jednorázový incident, bylo by to pochopitelné. Ale jak je možné, že se nezlepší kybernetická bezpečnost po celostátním výpadku? Místo osamocené události se tento únik jeví jako součást většího vzoru. Průmysl se spoléhá na komplexní sítě dodavatelů a zastaralé IT systémy, zatímco kyberzločinci nadále zneužívají vznikající zranitelnosti.