Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Ayrılık Konusu Bazı İlişkilerin Saldırı Sonrası Nasıl Parçalanabileceğini Gösteriyor, Soruşturma
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
1 Ekim 2024
Sağlık sektöründeki siber saldırılar ve büyük sağlık verileri ihlalleri, hastaların açtığı toplu dava anlaşmazlıklarında sıklıkla mahkemelerde sonuçlanıyor. Ancak bazen bu tür olaylar başka sonuçlara da yol açabilir: iş ilişkileri geri dönüşü olmayacak şekilde zarar görebilir.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
Güney Kaliforniya’da bir doktor muayenehanesi olan Graybill Medical Group, bağlı kuruluşu Palomar Medical Group’tan ayrılıyor. Palomar, yaklaşık beş yıldır Graybill’e yönetim hizmetleri sağlıyor. Graybill, bu ayrılığın nedeninin Palomar’ın mayıs ayında tespit edilen bir siber saldırıya “yetersiz” yanıt vermesinin iddia edilmesi olduğunu söylüyor.
San Diego Union-Tribune’un çarşamba günkü haberine göre Graybill, Palomar’ın hâlâ “kritik işlevleri” geri getirmediğini ve bunun Graybill’in hastalara temel tıbbi hizmetleri sunma becerisini engellediğini iddia ediyor.
Palomar, Graybill’in web sitesinde 18 Temmuz’da yayınlanan bir güncelleme açıklamasında, elektronik tıbbi kayıtların, randevu planlamasının ve telefon sistemlerinin geri yüklendiğini söyledi.
Graybill’in başlattığı ayrılığa yanıt olarak grup, Palomar’ın 11 Kasım itibarıyla Palomar ofis binalarında muayenehaneleri faaliyet gösteren yaklaşık 100 Graybill Tıp Grubu doktorunu ve ilgili çalışanını “tahliye ettiğini” iddia ediyor.
Palomar, Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada Graybill’in siber olayla ilgili iddialarına karşı çıkıyor.
Palomar, “Graybill’in kilit liderlerinden birinin olay öncesinde ve sırasında PHMG’nin baş tıbbi bilgi sorumlusu olarak görev yapmasına rağmen, Graybill veri güvenliği olayının sonuçlarından uzaklaşmaya çalışıyor” dedi.
“PHMG, Graybill’in başarısını ve entegrasyonunu desteklemek için sürekli olarak elinden gelen çabayı gösterirken, Graybill şu anda veri güvenliği olayını, bu grubun Aralık 2020’deki satın alımından bu yana işbirliği yapmadığı bir ortaklıktan çıkmak için kullanıyor.”
1932 yılında birinci basamak sağlık hizmeti olarak kurulan Graybill ile Palomar Medical Group arasındaki bağlantı 2020 yılına kadar uzanıyor. Palomar, güney Kaliforniya’da yaklaşık 200.000 hastaya hizmet veren yaklaşık iki düzine klinik ve tıbbi ofis işletiyor. Graybill’in yaklaşık 45.000 hastası var.
Palomar, yer tutucu tahminine göre, 3 Temmuz’da ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bilgisayar korsanlığı olayını 501 kişiyi etkileyen bir HIPAA ihlali olarak bildirdi.
Graybill, web sitesinde Palomar saldırısıyla ilgili bir ihlal bildiriminde, 5 Mayıs veya civarında PHMG’nin ağındaki belirli bilgisayar sistemlerinde şüpheli etkinlik tespit ettiğini söyledi.
“PHMG, faaliyetin niteliğini ve kapsamını belirlemek için derhal bir soruşturma başlattı.” Soruşturma, yetkisiz bir kişinin 23 Nisan’dan 5 Mayıs’a kadar PHMG ağındaki belirli dosyalara erişim sağladığını ve bu dosyaları kopyalamış olabileceğini ortaya çıkardı.
“Ayrıca, bu olay belirli dosyaların kurtarılamaz hale gelmesine neden olmuş olabilir. Bununla birlikte, PHMG, tüm dosyaları geri yükleme ve etkilenmiş olabilecek belirli kişileri ve bilgileri belirleme çabalarını sürdürüyor, böylece soruşturması tamamlandığında ek bilgilerle birlikte kişiselleştirilmiş bildirim sunabiliyor. tamamlandı” uyarısında bulunuldu.
Potansiyel olarak ele geçirilen bilgiler arasında hastanın adı, adresi, doğum tarihi, Sosyal Güvenlik numarası, tıbbi geçmiş bilgileri, engellilik bilgileri, teşhis bilgileri, tedavi bilgileri, reçete bilgileri, doktor bilgileri ve tıbbi kayıt numarası yer alır.
Bildirimde, sağlık sigortası bilgileri, abone numarası, sağlık sigortası grubu/plan numarası, kredi/banka kartı numarası, güvenlik kodu/PIN numarası, son kullanma tarihi, e-posta adresi ve şifre ile kullanıcı adı ve şifrenin de potansiyel olarak ele geçirildiği belirtildi.
Graybill, ISMG’nin yorum talebine hemen yanıt vermedi.
Gergin İlişkiler
Bazı uzmanlar, Kaliforniya’daki dağılmanın, siber saldırıların ve büyük sağlık verileri ihlallerinin, özellikle birden fazla kuruluş etkilendiğinde iş ilişkilerini ve diğer ortaklıkları nasıl zorlayabileceğinin bir örneği olduğunu söyledi.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Üçüncü taraf risk yönetimine toplu olarak odaklandığımız göz önüne alındığında, işletmelerin tümü bir tedarikçiyle ilgili bir olay olması durumunda hangi önlemlerin alınması gerektiğini düşünüyor” dedi.
“Olay, müşterinin kademeli olarak tehlikeye girmesiyle sonuçlanırsa, üçüncü taraf kapsamının etkinleştirilmesi basit bir işlemdir” dedi.
“Ancak olay, bir tedarik veya hizmetin sağlanamaması nedeniyle iş operasyonlarının kesintiye uğramasıyla sonuçlanırsa ve/veya olayın ele alınması yeterince yeterli ve şeffaf değilse, bir şirketin veya kapsam dahilindeki kuruluşun aşağıdakileri yapmaktan başka seçeneği olmayabilir: Başka seçenekler arayın ve bu şaşırtıcı olmamalı” dedi.
tw-Security’nin ortağı ve baş danışmanı Keith Fricke, güvenlik olaylarının temel nedeninin araştırılması ve belirlenmesinin genellikle önemli miktarda zaman aldığını söyledi. “Sonuç olarak, temel nedenin sorumluluğunun nerede olduğunu bilmek parmakla işaret etmeye yol açabilir” dedi.
Fricke, “Uzun soruşturmaların bir diğer yan etkisi de, perde arkası ilişkilerde bir tarafın diğer tarafları bilgilendirmek için ne kadar süre beklediğidir. Bildirimdeki gecikmeler, bildirim aralığına ilişkin sözleşmeye dayalı anlaşmaları ihlal edebilir” dedi.
Sağlık sektörü kuruluşlarının, hasta bilgileri gibi kritik verileri riske atabilecek herhangi bir iş ilişkisine girmeden önce ortaklarını dikkatli bir şekilde incelemesi gerektiğini söyledi.
“En son risk analizi sonuçları da dahil olmak üzere ortağın bilgi güvenliği ve gizlilik programları hakkında bilgi talep edin. İş ortağının ağlar ve bilgisayar sistemleri üzerindeki şüpheli etkinlikleri izleme, tespit etme ve bunlara ilişkin uyarı verme yetenekleri hakkında bilgi isteyin” dedi.
Yetkili, kuruluşların ayrıca potansiyel ortaklardan masa üstü tatbikatlar, olaylara müdahale ve felaket kurtarma planlarına ilişkin kanıt istemeleri gerektiğini söyledi.
“Ayrıca kuruluşlar arasındaki bağlantının doğasını ve kapsamını anlayın. Sağlık hizmetleri uygulamalarının kendi felaket kurtarma ve iş sürekliliği planlarına sahip olması gerekir; DR ve olay müdahale planlarının uygulamaya konulması yalnızca diğer ortağın sorumluluğunda değildir.” söz konusu.
Hamilton, bir BT kesintisi durumunda, etkilenen kuruluşun iş sürekliliği için yeterli yedekliliğe sahip olması gerektiğini söyledi.
“Bu, satın alma sırasında değerlendirilmesi gereken bir konudur, böylece tedarikçiler kısmen baskı altında faaliyetlerini sürdürme yeteneklerine göre değerlendirilebilir” dedi.
Hamilton, “Uzun süreli bir başarısızlık, ilişkinin sonlandırılmasının nedeni olabilir veya müşteri için tatmin edici bir düzeltici eylem planıyla sonuçlanan resmi sorun yönetiminin nedeni olabilir” dedi.
Ancak Graybill ve Palomar durumu gibi aşırı durumlarda bile, büyük bir siber olayın ardından iş ilişkilerini sonlandırmak her zaman kolay olmuyor.
Fricke, “İlişkiyi bozmanın birçok komplikasyonu var ve zaman alıyor” dedi. “Yolları ayırma kararının çoğu, tarafların nasıl tepki verdiğine, nasıl iletişim kurduğuna ve olayın kendi paylarına düşen kısmını nasıl üstlendiğine dayanıyor.”