بی‌خبری بیماران، ماه‌ها پس از افشای داده‌های آزمایشگاهی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این اطلاعات در جریان حمله‌ای سایبری توسط گروه جنایتکار کیلین (Qilin) در ژوئن سال گذشته علیه شرکت سینوویس (Synnovis) مستقر در لندن فاش شد.

این حمله خدمات درمانی در شمار زیادی از بیمارستان‌ها و مراکز وابسته به سرویس ملی سلامت (NHS) در لندن را به شدت مختل کرد.

سینوویس صفحه‌ای اطلاع‌رسانی درباره این حادثه منتشر کرده اما هنوز هیچ برآوردی از تعداد بیماران آسیب‌دیده یا فهرستی از داده‌های منتشرشده توسط مهاجمان ارائه نکرده است.

این شرکت تنها تأیید کرده که برخی اطلاعات بیماران به خطر افتاده‌اند و نوشته است:

در برخی موارد، این اطلاعات ممکن است شامل داده‌های شخصی نظیر نام، شماره سرویس ملی سلامت و کد آزمایش باشد (که نوع آزمایش را مشخص می‌کند)، هرچند تحلیل دقیق همچنان در جریان است.

در تازه‌ترین اظهارات این هفته، شرکت اعلام کرده که روند بررسی به‌طور چشم‌گیری پیشرفت کرده اما هنوز به پایان نرسیده است.

تحلیلی که توسط متخصصان افشای داده در شرکت کیس ماتریکس (CaseMatrix) انجام شده، نشان می‌دهد که بیش از ۹۰۰ هزار نفر تحت تأثیر قرار گرفته‌اند و اطلاعات منتشرشده شامل نام، تاریخ تولد، شماره سرویس ملی سلامت و در برخی موارد اطلاعات تماس شخصی بوده است.

حساس‌ترین داده‌هایی که شناسایی شده‌اند شامل فرم‌های پاتولوژی و هیستولوژی هستند که بین بخش‌های پزشکی و مؤسسات برای انتقال جزئیات بیماران استفاده می‌شوند؛ فرم‌هایی که اغلب به علائم بیماری‌های خصوصی و حساس مانند سرطان یا عفونت‌های مقاربتی اشاره دارند.

بلافاصله پس از حمله، سینوویس تمرکز خود را بر بازیابی خدمات حیاتی آزمایش خون قرار داد.

این حمله سایبری باعث شد ذخایر خون در سراسر بریتانیا به شدت کاهش یابد، چرا که پزشکان به دلیل محدودیت در تطبیق گروه خونی، ناچار به استفاده از خون‌های اهدایی همگانی شدند.

برخی بیمارستان‌ها حتی در آستانه آن بودند که فقط به بیماران بحرانی خون تزریق کنند.

سه ماه پس از این حادثه، زمانی که سینوویس اعلام کرد بیشتر سیستم‌های اصلی فناوری اطلاعات خود را بازیابی کرده و خدمات تشخیصی را از سر گرفته، بیماران آسیب‌دیده هنوز هیچ هشدار اولیه‌ای در مورد حساسیت داده‌های فاش‌شده دریافت نکرده بودند.

در آن زمان سینوویس گفت که فرآیند eDiscovery را اندکی پس از حمله سایبری آغاز کرده تا داده‌های سرقت‌شده را بررسی کرده و افراد یا سازمان‌هایی را که این اطلاعات به آن‌ها مربوط می‌شود شناسایی کند.

در سپتامبر گذشته نیز این فرآیند را «پیشرفته» توصیف کرد.

سینوویس همچنین اعلام کرد:

در صورتی که این فرآیند مشخص کند داده‌های مرتبط با سازمان خاصی تحت تأثیر قرار گرفته، به‌صورت مستقیم به آن‌ها اطلاع‌رسانی خواهیم کرد.

سخنگوی دو بیمارستان سرویس ملی سلامت که از خدمات سینوویس استفاده می‌کنند (بیمارستان گایز و سنت توماس، و بیمارستان کینگز کالج) به رسانه‌ها گفت که منتظر نتایج فرآیند eDiscovery هستند تا بفهمند چه اطلاعاتی آسیب دیده است.

سخنگوی سرویس ملی سلامت انگلستان نیز رسانه‌ها را به سینوویس ارجاع داد.

بر اساس راهنمای دفتر کمیسیون اطلاعات (ICO)، قوانین حریم خصوصی بریتانیا تصدیق می‌کند که بررسی کامل سرقت داده ممکن است زمان‌بر باشد، اما همچنان سازمان‌ها ملزم هستند در صورت افشای اطلاعات حساس، افراد را مطلع کنند.

در مثالی که دفتر کمیسیون اطلاعات منتشر کرده، آمده است:

اگر بیمارستانی دچار نشت تصادفی پرونده‌های بیماران شود، به‌دلیل حساسیت داده‌ها و افشای جزئیات پزشکی محرمانه، این اتفاق تأثیر قابل‌توجهی بر حقوق و آزادی‌های افراد دارد و بنابراین باید به آن‌ها اطلاع داده شود.

سخنگوی سینوویس در پایان گفت:

ما نگرانی عمومی برای اتمام این بررسی را درک می‌کنیم و آن را به‌اشتراک می‌گذاریم. این فرآیند به مراحل نهایی خود نزدیک شده و این پیشرفت قابل‌توجهی است که به ما اجازه می‌دهد اطلاع‌رسانی مناسب را به سازمان‌ها و افراد آسیب‌دیده آغاز کنیم.