Eine in Indianapolis ansässige Zahnarztpraxis, Westend Dental, hat zugestimmt, 350.000 $ zu zahlen, nachdem eine staatliche Untersuchung in eine Ransomware-Attacke, die sensible Patientendaten offengelegt hat, eingeleitet wurde. Der Generalstaatsanwalt von Indiana, Todd Rokita, reichte eine Klage gegen die Praxis ein und beschuldigte sie, die Verletzung nicht rechtzeitig gemeldet und versucht zu haben, den Vorfall zu verbergen.
Die Ransomware-Attacke, die im Oktober 2020 stattfand, kompromittierte einen Server am Standort Arlington von Westend Dental und betraf mindestens 450 Patienten. Die staatliche Untersuchung wurde eingeleitet, nachdem ein Patient eine Beschwerde über eine unerfüllte Anfrage nach Zahndaten eingereicht hatte, was zur Entdeckung der Verletzung fast zwei Jahre später führte. Laut HIPAA-Vorschriften sind Gesundheitsorganisationen verpflichtet, Behörden innerhalb von 60 Tagen nach der Entdeckung solcher Verstöße zu benachrichtigen.
Die Eigentümerin von Westend Dental, Dr. Pooja Mandalia, und ihr Ehemann, Dr. Deept Rana, der als HIPAA-Datenschutzbeauftragter benannt wurde, hatten keine angemessenen Sicherheitsprotokolle aufrechterhalten. Die Klage zeigte, dass der kompromittierte Server sensible Patientendaten, einschließlich biometrischer Daten und Behandlungsunterlagen, enthielt und dass die Praxis zum Zeitpunkt des Vorfalls kein System hatte, um den Zugriff auf diese Daten zu verfolgen.
Die vorgeschlagene Einigung verpflichtet Westend Dental, sich an die HIPAA zu halten und ihre Datenschutzmaßnahmen zu verbessern, einschließlich der Schulung von Mitarbeitern und der Dokumentation von Vorfällen. Dieser Fall hebt die Verwundbarkeiten im Gesundheitssektor hervor, in dem Ransomware-Angriffe zunehmend häufig sind, wobei 8 % dieser Angriffe Gesundheitsdienstleister ins Visier nehmen, so der Cybersicherheitsexperte Errol Weiss.
Zusätzlich zu dem Ransomware-Vorfall deckte die Untersuchung mehrere unangemessene Offenlegungen von geschützten Gesundheitsinformationen durch öffentliche Online-Beiträge und Antworten auf Patientenbewertungen auf, was den Skandal weiter verschärfte.