Bristande dataskydd, i synnerhet bristande informationssäkerhet, kan ha allvarliga konsekvenser för människors liv. En hackarattack på universitetssjukhuset i den tyska staden Düsseldorf kan ha lett till att en patient avlidit. Enligt WDR har åklagaren i Köln inlett en utredning om vållande till annans död i samband med attacken.
Den 10 september utnyttjade hackare en sårbarhet i sjukhusets VPN-lösning från leverantören Citrix för att kryptera sjukhusets servrar med ransomware. Som följd lamslogs sjukhusets IT-system vilket innebar att patienter inte kunde behandlas samt att såväl planerade som akuta operationer inte kunde genomföras. Störningen innebar även att sjukhuset inte kunde ta emot en kvinna som led av en livsfarlig sjukdom varpå kvinnan avled.
Hackarna utnyttjade en känd sårbarhet i Citrixs VPN-lösning (CVE-2019-19781) som Tysklands statliga myndighet för informationssäkerhetssäkerhet, Das Bundesamt für Sicherheit in der Informationstechnik (“BSI”), varnat för redan i januari 2020. En enkel uppdatering av VPN-lösningen hade gjort det omöjligt för hackarna att utnyttja sårbarheten för att lamslå sjukhusets IT-system. BSI återupprepade sin varning efter incidenten (läs mer om detta här).
Händelsen förtydligar vikten av ett kontinuerligt informationssäkerhetsarbete som säkerställer genomförandet av effektiva säkerhetsåtgärder, särskilt i kritiska verksamheter som sjukhus.