CareCloud, een in de VS gevestigd technologiebedrijf in de gezondheidszorg dat elektronische patiëntendossiersystemen en factureringsdiensten levert, heeft een cyberbeveiligingsincident bekendgemaakt waarbij onbevoegde toegang tot een van zijn omgevingen waar patiëntgegevens worden opgeslagen, volgens een aangifte bij de Amerikaanse Securities and Exchange Commission.
Het bedrijf meldde dat het incident plaatsvond op 16 maart, toen een dreigingsactor voor een beperkte periode toegang kreeg tot één elektronische patiëntendossieromgeving. Het getroffen systeem is een van de zes omgevingen die door CareCloud worden beheerd, en het bedrijf verklaarde dat de overige systemen niet werden getroffen.
CareCloud verklaarde dat de ongeautoriseerde toegang enkele uren duurde voordat deze werd geïdentificeerd en beheerst. Het bedrijf meldde dat het dezelfde dag de getroffen omgeving heeft hersteld en denkt dat de aanvaller geen toegang meer heeft tot zijn systemen.
Volgens het bedrijf bevat de gecompromitteerde omgeving elektronische patiëntendossiers die door zorgverzekeraars worden gebruikt. Deze systemen slaan doorgaans gevoelige patiëntgegevens op, waaronder medische voorgeschiedenissen, behandeldossiers en facturatiegegevens. Het bedrijf verklaarde dat het blijft beoordelen of er tijdens het incident gegevens zijn benaderd of verwijderd en heeft de omvang van de blootstelling niet bevestigd.
CareCloud meldde dat het de wetshandhavingsinstanties en zijn cyberverzekeringsaanbieder op de hoogte bracht na de ontdekking van het incident. Het bedrijf schakelde ook externe cybersecurityspecialisten in om een forensisch onderzoek uit te voeren en te helpen bij het beveiligen van de systemen.
Het bedrijf omschreef het incident als materieel vanwege de gevoeligheid van de gegevens die in de getroffen omgeving zijn opgeslagen en de mogelijke risico’s die gepaard gaan met ongeautoriseerde toegang. Tegelijkertijd verklaarde CareCloud dat de inbreuk tot nu toe geen wezenlijke impact heeft gehad op de bedrijfsvoering of financiële situatie.
CareCloud levert software en diensten aan meer dan 45.000 zorgverleners, waaronder elektronische patiëntendossierplatforms en tools voor het beheer van de inkomstencyclus. Het bedrijf gaf aan het onderzoek naar het incident voort te zetten en updates te zullen geven zodra er meer informatie beschikbaar is.