萨斯喀彻温省信息和隐私专员表示,黑客获取了 7,000 多人的医疗和个人信息。
此次入侵事件发生于今年早些时候,影响了萨斯喀彻温省医疗保健公司 Innomar 运营的四家诊所以电子方式存储的患者记录。此次入侵事件并未影响 Innomar 在该省的药店。
这些私人诊所提供实验室检测和血液检查,位于里贾纳、萨斯卡通、北巴特尔福德和普林斯艾伯特。
信息和隐私专员 (IPC) 罗纳德·克鲁泽尼斯基 (Ronald Kruzeniski) 在其报告中表示,Innomar Strategies Inc. 及其母公司 Cencora 于 2024 年 2 月 21 日发现其系统数据遭到泄露。
首次“未经授权访问”其系统发生在一个月前。Innomar 表示,2 月 21 日之后,没有发现任何进一步的入侵行为。
2024 年 4 月 21 日,Innomar 发现以下信息已从其系统中“泄露”:
姓名、地址、出生日期。
身高、体重。
电话号码、电子邮件地址。
服务日期、地点。
健康诊断/状况。
药物/处方。
医疗记录号、病人号、健康保险/订户号。
签名、实验室结果和病史。
该违规行为于 2024 年 5 月 9 日报告给印度刑法委员会。
报告称:“Innomar 主动向我的办公室报告了隐私泄露事件,并指出萨斯喀彻温省有 7,293 人受到了此次泄露事件的影响。”
报告发现,Innomar“已采取合理措施遏制违规行为”。
克鲁泽尼斯基表示,向受影响人员报告违规行为存在延迟。Innomar 于 2024 年 5 月 31 日通过信件通知了人们。
克鲁泽尼斯基说:“Innomar 解释说,虽然数据泄露是在 2024 年 2 月 21 日发现的,但直到 2024 年 4 月 10 日才确定个人健康信息被泄露。”
克鲁泽尼斯基称,此次入侵事件分两个阶段发生。
“首先,威胁行为者似乎能够访问 Cencora 一家附属公司的服务器。然后,根据当时的网络分段安排,威胁行为者能够获得凭证,从附属公司的系统横向移动到 Innomar 的系统。”
黑客随后窃取了个人健康信息。
克鲁泽尼斯基表示,公司已采取措施防止将来再次发生类似的违规行为。
Innomar 为受影响的个人提供了为期两年的信用监控服务。IPC 建议将服务期限延长至至少 10 年,因为“威胁者很容易存储数据,他们可能会随时泄露个人信息,尤其是在个人最意想不到的时候。”
扫码参与评论与作者和更多用户交互
