Kaiser Permanente drabbades av ett dataintrång på grund av e-postkompromiss den 5 april som potentiellt avslöjade medicinska journaler för nästan 70,000 XNUMX patienter, avslöjade företaget tidigare denna månad.

Angripare fick tillgång till e-postmeddelanden från en anställd på Kaiser Foundation Health Plan of Washington som innehöll "skyddad hälsoinformation", avslöjade företaget i ett brev till berörda kunder den 3 juni.

Angriparen upprätthöll obehörig åtkomst i flera timmar, varefter Kaiser avslutade aktiviteten "och omedelbart påbörjade en utredning för att fastställa omfattningen av händelsen", enligt brevet.

Men även Kaiser var inte helt säker på om angripare fick tillgång till personlig hälsoinformation om klienter på grund av intrånget, även om företaget erkände att det "inte helt kan utesluta möjligheten."

Hittills sa företaget att det inte har några bevis för "identitetsstöld eller missbruk av skyddad hälsoinformation" som ett resultat av intrånget.

Utöver Kaisers egen utredning undersöker det amerikanska departementet för hälsa och mänskliga tjänster, kontor för medborgerliga rättigheter för närvarande brottet, enligt en lista på sin hemsida som hävdar att händelsen påverkade 69,589 XNUMX individer.

Snabbare svar?

En säkerhetsexpert noterade att även om det var "proaktivt" av Kaiser Permanente att meddela en så stor grupp kunder om intrånget, kan företagets osäkerhet om huruvida data stulits eller inte tyda på bristande tillräcklig respons från dess sida.

"Det visar behovet för organisationer att ha robusta revisionskontroller för att snabbt identifiera vilken data som angripare fick åtkomst till under en incident", observerade Chris Clements, vice vd för lösningsarkitektur på cybersäkerhetsföretaget Cerberus Sentinel, i ett e-postmeddelande till Threatpost.

Han noterade också att företaget kunde ha agerat snabbare för att meddela de potentiellt drabbade, eftersom tre månader är gott om tid för angripare att dra nytta av intrånget.

"Under denna tid kunde de drabbade individerna ha blivit måltavlor av angripare som använde vilken specifik information som helst som stulits i övertygande sociala ingenjörskampanjer," sa Clements. "Det är avgörande att organisationer som en del av deras större cybersäkerhetskultur inkluderar att bedöma deras förmåga att snabbt förstå omfattningen av ett potentiellt brott i riskanalys eller bordsövningar."

Mänskligt misstag är fortfarande en säkerhetsplåga

Incidenten belyser också återigen vad som alltid varit och förblir den största säkerhetsrisken som organisationer står inför – mänskliga fel.

Verizons 2022 Data Break Investigations Report (DBIR), en omfattande titt på dataintrång som inträffade under föregående år, hittade att 82 procent av de intrång som analyserades förra året involverade vad forskare kallar "det mänskliga elementet", vilket kan vara hur många saker som helst.

"Oavsett om det är användningen av stulna referenser, nätfiske, missbruk eller helt enkelt ett fel, fortsätter människor att spela en mycket stor roll i både incidenter och intrång", skrev forskare i rapporten.

Business email compromise (BEC), vilket är vad som verkar ha inträffat i Kaiser-intrånget, är ett särskilt betydande hot. Angripare har blivit allt fler sofistikerade i att skapa socialt utvecklade nätfiske och andra skadliga e-postkampanjer, som lurar intet ont anande anställda att ge upp autentiseringsuppgifter till sina företags e-postkonton.

Detta kan leda till ytterligare otrevliga aktiviteter när en hotaktör har fått initial tillgång till ett företagsnätverk, såsom ransomware eller andra ekonomiskt motiverade cyberbrott.

Faktum är att BEC har blivit ett stort ekonomiskt avlopp för organisationer, med FBI rapporterade nyligen den där företag spenderade 43 miljarder dollar mellan juni 2016 och december 2021 på grund av denna typ av attack. Faktum är att det bara mellan juli 2019 och december 2021 skedde en ökning med 65 procent i BEC-bedrägerier, vilket FBI främst tillskrev pandemin som tvingade de flesta affärsaktiviteter att ske online.