Un servizio di gestione digitale dei farmaci neozelandese, MediMap, è stato messo offline dopo che un’intrusione non autorizzata ha alterato le cartelle dei pazienti. L’azienda ha dichiarato di aver rilevato la violazione e di aver messo il sistema in modalità manutenzione mentre indaga e lavora per ripristinare l’integrità dei dati.
MediMap è utilizzato da operatori sanitari, strutture per anziani, hospice e farmacie in tutta la Nuova Zelanda per gestire prescrizioni e storie di farmaci. Dopo l’incidente, alcune cartelle cliniche dei pazienti sono state modificate senza autorizzazione. Secondo i rapporti citati dall’azienda e dalle autorità sanitarie, alcune voci sono state modificate con nomi, date di nascita e dati del prescrittore errati (errate). In alcuni casi, i pazienti sono stati falsamente contrassegnati come deceduti.
Tra i registri alterati vi erano annotazioni che rinominavano i pazienti come Charlie Kirk, un commentatore politico conservatore statunitense assassinato lo scorso anno. La presenza del nome in diversi documenti ha attirato l’attenzione sulla violazione e ha indicato che i cambiamenti erano deliberati e non accidentali. Le autorità non hanno specificato quanti documenti siano stati colpiti dalla modifica del nome.
Health New Zealand ha confermato di collaborare con MediMap e di supportare la risposta a quello che ha descritto come un incidente di cybersecurity. Sono stati inoltre informati anche la Polizia della Nuova Zelanda e le agenzie nazionali di risposta informatica. I funzionari hanno detto che la priorità era verificare l’accuratezza delle informazioni dei pazienti e assicurarsi che non vengano prese decisioni mediche errate basate su dati alterati.
Mentre il sistema era offline, i fornitori di assistenza sanitaria sono tornati a prescrizioni manuali e alla tenuta dei registri. Alcune strutture hanno segnalato interruzioni operative poiché il personale si è affidato a sistemi cartacei per mantenere la continuità delle cure.
MediMap ha dichiarato di stare conducendo un’indagine completa per determinare come sia avvenuta l’intrusione e se siano stati acceduti o esfiltrati dati personali. Al momento della segnalazione, l’azienda non aveva confermato che i dati fossero stati rimossi dai suoi sistemi, affermando che la revisione era ancora in corso. Ulteriori aggiornamenti sono attesi una volta completata l’analisi forense.