中央ヨーロッパで大規模な医療ネットワークを運営するAMEOSグループは、顧客、従業員、パートナーの情報が漏洩した可能性のあるセキュリティ侵害が発生したことを発表しました。
同組織は、一般データ保護規則(GDPR)の第34条に基づき、データ侵害が発生した場合に公的な通知が義務付けられているため、自社ウェブサイト上で声明を公開しました。
AMEOSはチューリッヒを拠点とする医療提供者であり、スイス、ドイツ、オーストリアにある100以上の病院、クリニック、リハビリテーションセンター、介護施設で18,000人のスタッフを雇用しています。
AMEOSは、DACH地域全体で最大級の民間病院グループの一つであり、10,000床以上、年間収益は14億ドルを超えています。
AMEOSは、「広範なセキュリティ対策」を講じていたにもかかわらず、外部の関係者がITシステムに不正アクセスし、機密情報にアクセスしたことを明らかにしています。
「患者、従業員、パートナーのデータ、ならびにあなたやあなたの会社に関する連絡先情報が、不正アクセスにより影響を受けた可能性があります」と発表文には記載されています。
「このデータが、被害者に不利益となる形でインターネット上で悪用されたり、第三者に公開されたりする可能性を排除できません。」
これを受けて、AMEOSはすべてのITシステムを停止し、すべての外部および内部ネットワーク接続を遮断しました。さらに、既存の対策を強化し、外部のITおよびフォレンジック専門家と契約して対応にあたっています。
各国のデータ保護当局には適切に通知され、警察には刑事告発が行われました。
AMEOSの施設で治療を受けたことがある方は、フィッシングや詐欺の試みに十分注意するよう勧告されています。
これまでのところ、アクセスされたデータがオンラインで拡散された形跡はないと、医療提供者は述べています。
調査は現在も進行中であり、AMEOSは新たな情報が入り次第、随時更新を行うと約束しています。
「現時点では、あなた個人の個人データが実際に漏洩したという具体的な証拠はありません」と組織は述べています。
「現在進行中の確認および調査措置が完了次第、このページを通じて直ちにご案内いたします。」
記事執筆時点では、AMEOSへの攻撃について主要なランサムウェアグループは犯行声明を出していません。同組織は、攻撃にデータ暗号化が含まれていたかどうかも明らかにしておらず、事件の種類や犯人は不明です。
CISOが実際に使うボードレポートデッキ
CISOは、クラウドセキュリティがどのようにビジネス価値を生み出すかという明確で戦略的な視点から、取締役会の賛同を得ることが重要であると理解しています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティの最新情報を意味のある対話や迅速な意思決定につなげましょう。