Her İki Fidye Yazılımı Olayı da 2022’de Meydana Geldi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
16 Ocak 2023
İki özel tıbbi bakım firması – Teksas merkezli bir evde sağlık kurumu ve Pennsylvania merkezli bir kadın ve aile sağlığı kliniği – toplamda yaklaşık 600.000 kişiyi etkileyen ayrı fidye yazılımı ihlallerini bildiriyor.
Ayrıca bakınız: İsteğe Bağlı | Kimlik Avı 101: Bir Kimlik Avı Saldırısına Nasıl Düşülmez?
Dallas merkezli Evde Bakım Sağlayıcıları, 13 Ocak’ta Teksas başsavcılığına olayın Lone Star State’in yaklaşık 124.000 sakinini etkilediğini bildirdi. Şirketin ihlal bildirim beyanı, açıklanmayan sayıda Kuzey Carolina sakininin de etkilendiğini gösteriyor.
Bu arada, Wilkes-Barre, Pensilvanya merkezli kar amacı gütmeyen Anne ve Aile Sağlığı Hizmetleri, 10 Ocak’ta Maine başsavcılığına 68 Maine sakini de dahil olmak üzere yaklaşık 461.200 kişiyi etkileyen bir fidye yazılımı olayı bildirdi. MFHS, Pennsylvania’nın 17 ilçesinde bir sağlık ve beslenme merkezleri ağını desteklemektedir.
Olaylar, fidye yazılımı suçlularının daha küçük ve özel kuruluşlar da dahil olmak üzere genişleyen farklı türde sağlık hizmeti sağlayıcılarını ve bunların satıcılarını vurma eğilimini takip ediyor.
Güvenlik firması ThreatConnect’in siber risk genel müdürü Jerry Caponera, “Sağlık verileri şu anda çok kazançlı ve suçlular, küçük ve orta ölçekli şirketlerin büyük şirketlere göre daha az güvenliğe sahip olduklarını biliyorlar” diyor.
Güvenlik firması Critical Insights’ın CISO’su Michael Hamilton, siber suçluların potansiyel sağlık hizmeti kurbanlarını daha seçici bir şekilde seçtiklerini söylüyor.
“Hedef seçimi aynı zamanda işyerinde suç riskinin en aza indirilmesidir. Akut bakım hizmetleri sunmayan kuruluşların, fidye yazılımı gibi bir kesinti olayı sırasında can kaybını da içerebilecek hasta sonuçlarına sahip olma olasılığı daha düşüktür” diyor. “Bu, Biden yönetiminin uyguladığı gibi, suçluları ‘terörist’ lakabından uzak tutuyor.”
Evde Sağlık Olayı
HCPT, fidye yazılımı saldırısının geçen Haziran ayında farkına vardığını söyledi. Şirket, ihlal bildirim bildiriminde “Ayrıca, yetkisiz bir taraf sınırlı sayıda dosyayı sistemlerimizden kaldırdı” diyor.
Şirket, kolluk kuvvetlerini uyardı ve üçüncü taraf bir siber güvenlik firmasıyla anlaştı. 15 Kasım’da bir adli tıp soruşturmasını ve etkilenen tüm verilerin kapsamlı bir incelemesini tamamlayarak yetkisiz bir tarafın 15 Haziran ile 29 Haziran 2022 arasında HCPT sistemlerine eriştiğini belirledi.
Etkilenen bilgiler, bireysel adları, adresleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, belirli tedavi veya teşhis bilgilerini ve ilaç bilgilerini içerir.
HCPT, Information Security Media Group’un olayla ilgili yorum ve ek ayrıntı talebine hemen yanıt vermedi.
Ana ve Aile Sağlığı Hizmetleri İhlali
MFHS, 4 Nisan 2022 fidye yazılımı olayından etkilenen bireyleri (mevcut ve eski çalışanlar, hastalar ve satıcılar dahil) bilgilendirme işine 3 Ocak’ta başladığını söylüyor.
Kuruluş, olayla ilgili soruşturmanın 21 Ağustos 2021 ile 4 Nisan 2022 tarihleri arasında MFHS sistemlerine yetkisiz erişim gerçekleştiğini belirlediğini söyledi.
Etkilenen bilgiler isimleri, adresleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, ehliyet numaralarını, finansal bilgileri, kullanıcı adlarını ve şifreleri, tıbbi bilgileri ve sağlık sigortası bilgilerini içerir. MFHS, ihlal sonucunda herhangi bir bilginin kötüye kullanıldığına dair herhangi bir kanıtı olmadığını söylüyor.
Kuruluş, bireylere 12 aylık ücretsiz kredi ve kimlik izleme hizmeti sunduğunu ve gelecekte benzer olayları önlemek için güvenliğini “güçlendirdiğini” söylüyor.
MFHS, ISMG’nin olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Montaj Basınçları
Genel olarak sağlık sektörü kuruluşları, siber güvenliklerini nihai olarak etkileyebilecek bir dizi baskıyla karşı karşıya. Caponera, “Sağlık şirketlerinin karşılaştığı zorluklar, artan enflasyon, sigorta şirketlerinden gelen ödemelerin azalması ve artan sağlık hizmetleri maliyetleriyle birlikte maliyetlerin kısılmasıdır” diyor. “BT – ve buna bağlı olarak siber güvenlik – bu karışımda sıkışıp kalma eğilimindedir” diyor.
Hamilton, özellikle siber güvenlik kaynakları için sıkışan daha küçük sağlık sektörü kuruluşlarının “en ucuz ve güvenlik iğnesini en çok hareket ettiren kolu çekmesi: Kişisel bir cihazda yürütülecek tüm kişisel kullanımı içeren bir politika oluşturması” gerektiğini söylüyor.
“Dış e-postaya ihtiyacı olmayanlar onu almamalı ve sosyal medya ve diğer ‘yem’ kaynakları engellenmeli” diyor.