Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri
New Jersey Sağlık Sistemi ve Alabama Kardiyak Bakım Kliniği Hastaları Bilgilendiriyor
Marianne Kolbasuk McGee (SağlıkBilgisi) •
21 Şubat 2023
Korunan sağlık bilgilerinin kopyalarını çalan saldırganların karıştığı son iki ayrı bilgisayar korsanlığı olayı, bir New Jersey sağlık sistemi ve bir Alabama kardiyovasküler kliniğindeki 1 milyondan fazla hastayı etkiledi.
Ayrıca bakınız: Siber Olgunluk: Önceliklendirmeye, Riski Ölçmeye Yeni Bakış
Freehold, New Jersey merkezli kar amacı gütmeyen CentraState Healthcare System 10 Şubat’ta 617.000 kişiyi etkileyen bir ihlal bildirdi ve Birmingham, Alabama merkezli Cardiovascular Associates 3 Şubat’ta yaklaşık 442.000 kişiyi etkileyen bir ihlal bildirdi. Her iki bilgisayar korsanlığı olayı da geçen Aralık ayında keşfedildi.
CentraState İhlali
CentraState, bir ihlal bildirim bildiriminde 29 Aralık 2022’de bilgisayar sistemlerini içeren “olağandışı etkinlik” tespit ettiğini söylüyor. Varlık, olayı kontrol altına almak için adımlar attığını ve bir adli tıp firmasının yardımıyla bir soruşturma başlattığını söyledi. CentraState ayrıca olayı FBI da dahil olmak üzere kolluk kuvvetlerine bildirdiğini söylüyor.
CentraState, soruşturmanın 29 Aralık’ta yetkisiz bir tarafın hasta bilgilerini depolayan arşivlenmiş bir veritabanının bir kopyasını ele geçirdiğini belirlediğini bildirdi.
30 Aralık’ta yerel medya sitesi Asbury Park Press, CentraState Tıp Merkezi’nin bir siber güvenlik olayıyla uğraşırken bir süredir ambulansları ve hastaları başka tesislere yönlendirdiğini bildirdi.
Bir CentraState sözcüsü, Information Security Media Group’un etkilenen arşivlenmiş veri tabanının türü, fidye yazılımının işin içinde olup olmadığı ve olayın CentraState’in BT sistemlerini bozup bozmadığı da dahil olmak üzere ek ayrıntı talebini reddetti.
CentraState, güvenliği ihlal edilmiş olabilecek bilgilerin isimleri, adresleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, sağlık sigortası bilgilerini, tıbbi kayıt numaralarını ve hasta hesap numaralarını içerdiğini söylüyor. Olayda CentraState’te alınan bakıma ilişkin hizmet tarihleri, hekim isimleri ve bölümleri, tedavi planları, teşhisler, vizit notları ve reçete bilgileri gibi bilgilere de ulaşıldı. CentraState, hiçbir finansal hesap veya ödeme kartı bilgisinin dahil olmadığını söylüyor.
Sosyal Güvenlik numaraları ele geçirilen kişiler için CentraState, ücretsiz kredi ve kimlik izleme hizmeti sunmaktadır. Kuruluş, gelecekte benzer olayların önlenmesine yardımcı olmak için elektronik sistemlerinin ve hasta verilerinin güvenliğini de artırdığını söylüyor.
Kardiyovasküler Associates Olayı
Cardiovascular Associates ihlal bildiriminde, 5 Aralık 2022’de ağındaki belirli sistemlerde “yetkisiz etkinlik” keşfettiğini söylüyor.
Bu olaya cevaben CVA, daha fazla yetkisiz etkinliği kısıtlamak için adımlar attı ve soruşturma ve düzeltme çabası başlatıldı. CVA, soruşturmanın yetkisiz bir üçüncü şahsın hasta bilgilerini içeren sistemlere eriştiğini ve bazı verilerin bir kopyasını 28 Kasım ile 5 Aralık arasında CVA’nın ağından kaldırdığını belirlediğini bildirdi.
Olayda tehlikeye girme potansiyeli olan bilgiler arasında adlar, doğum tarihleri, adresler, Sosyal Güvenlik numaraları, sağlık sigortası bilgileri ve tıbbi kayıt numarası da dahil olmak üzere tıbbi ve tedavi bilgileri yer alır; hizmet tarihleri; sağlayıcı ve tesis adları; diğer ziyaret, prosedür ve teşhis bilgileri; ve muhtemelen değerlendirmeler, testler ve görüntüleme.
CVA, olaydan ayrıca pasaport ve sürücü belgesi numaraları, kredi ve banka kartı bilgileri ve finansal hesap bilgileri dahil olmak üzere hesap ve/veya talep durumu, faturalama ve teşhis kodları ve ödeyen bilgileri dahil olmak üzere fatura ve talep bilgilerinin de etkilendiğini söylüyor.
CVA, sınırlı sayıda birey için, ele geçirilen bilgilerin kullanıcı adı ve şifreyi de içerebileceğini söylüyor.
CVA, “Bu olaya yanıt olarak, güvenlik ve izleme yetenekleri geliştiriliyor ve sistemler, gelecekte benzer bir olayın riskini en aza indirmek için uygun şekilde sağlamlaştırılıyor” diyor.
Kurum ayrıca, Sosyal Güvenlik numarası, kredi kartı/banka kartı veya mali hesap bilgileri, pasaport veya ehliyet numarası ele geçirilmiş olabilecek kişilere ücretsiz kredi izleme ve kimlik yenileme hizmetleri sunmaktadır.
CVA, ISMG’nin fidye yazılımı içerip içermediği de dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Gelişen Trendler
Güvenliğin kurucu ortağı ve CISO’su Michael Hamilton, BT sistemlerini ve verileri fidye yazılımıyla şifrelemek yerine öncelikle veri hırsızlığına odaklanan saldırı olaylarının, bazı siber suçluların sağlık sektörü hedeflerinde tercih ettiği bir yaklaşım olduğunu çünkü saldırganlar için daha az risk oluşturduğunu söylüyor. firma Critical Insight.
“Raç için kullanılan kayıt hırsızlığı, sağlık sektörü gibi kritik altyapıya karşı fidye yazılımı kullanımı artık suç değil terörizm olarak görüldüğünden, suçlular için daha az risk içeriyor” diyor.
“Şantaj amacıyla saklanan bilgilerin çalınması, altyapılarının Adalet Bakanlığı veya Savunma Bakanlığı tarafından eritilmesi tehdidi olmaksızın suçlular için aynı sonucu yaratır.”
Hamilton, bu arada, genellikle daha az sağlam güvenlik kontrolleri uygulanan daha küçük sağlık kuruluşlarının elindeki kayıtların hala aynı değere sahip olduğu varsayımı altında, siber suçluların da kurbanları hedef alma konusunda pazarın gerisinde kalmaya devam ettiğini söylüyor ve iş ortaklarının – hizmet sağlayıcılar, teknoloji satıcıları ve diğerleri de gerçek hedeflere ulaşmak için “kilidi açık pencere” olarak giderek daha fazla kullanılıyor.
Critical Insight tarafından yapılan son analiz, 2022’nin ikinci yarısında, düzenleyici kurumlara sağlık verilerinin hacklenmesi olaylarını bildiren kuruluşlar listesinin başında özel kliniklerin geldiğini, ardından hastane sistemleri, hizmetler ve tedarik firmaları, davranışsal sağlık ve ayakta tedavi hizmetlerinin geldiğini ortaya koydu.