İhlal Bildirimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Sağlık Sektörü Hızlanmazsa 2024 Nasıl Olacak?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
1 Şubat 2024
Neredeyse on yıl boyunca, her yıl işler ne kadar kötü giderse gitsin, 2015 yılı ABD sağlık verisi ihlalleri açısından rekor yıl olarak kaldı; 112,5 milyon kişi etkilendi. Bunun temel nedeni, 2015 yılında rapor edilen tek bir ihlalden, Çin’in sağlık sigortası şirketi Anthem’in hacklendiğinden şüphelenilen göz kamaştırıcı 79 milyon insanın etkilenmesiydi.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Ancak 2023’teki tüm saldırılar bu kayıtları paramparça etti ve bu da onu ABD’deki büyük sağlık verileri ihlalleri açısından şimdiye kadarki en kötü yıl haline getirdi.
Geçtiğimiz yıl, rekor sayıda kişiyi (yaklaşık 135,3 milyon) etkileyen rekor sayıda büyük sağlık verisi ihlali (734 ihlal) ABD federal düzenleyicilerine bildirildi. Bu, ABD nüfusunun %40’ından fazlasının korunan sağlık bilgilerinin tek bir yıl içinde ele geçirilmesine eşdeğerdir.
Bu aynı zamanda, Anthem’ın hacklendiği 2015 yılına göre çok daha kötü. Bu yıl, bu sayıdaki kuruluşların yarısından azı, ABD Sağlık ve İnsani Hizmetler Bakanlığı’na toplam 270 büyük sağlık verisi ihlali bildirmişti.
2023’teki sağlık verileri ihlalleri, giderek artan sayıda kuruluşun veri ihlallerinden etkilenme eğilimini yansıtıyordu. 2022’de HHS’ye 721 ihlal bildirildi; bu sayı 2023’tekinden yalnızca 23 daha az. Ancak 2022’de bildirilen ihlaller “yalnızca” yaklaşık 56,5 milyon kişiyi etkiledi; bu, 2023’te etkilenen insan sayısının yarısından azı.
2023’te bildirilen güvenlik ihlalleri türleri arasında açık ara en çok hack’ler hakim oldu. Tüm ihlallerin %80’ini temsil eden toplam 587 olay, 126,6 milyondan fazla kişiyi, yani geçen yıl büyük PHI ihlallerinden etkilenen kişilerin yaklaşık %94’ünü etkiledi.
Fatura tahsilat şirketlerinden tıbbi transkripsiyon hizmetlerine kadar üçüncü taraf iş ortakları, geçen yılın hızla artan ihlal toplamlarının çoğunu oluşturdu. 2023’te bildirilen büyük ihlallerin 275’inde iş ortaklarının “bulunduğu” bildirildi ve bu ihlaller yaklaşık 90,3 milyon kişiyi etkiledi. Bu, 2023 yılında bildirilen ihlallerin yaklaşık %40’ına ve etkilenen kişilerin üçte ikisine denk geliyor.
2023’ün En Büyük 10 Sağlık Verisi İhlali
| İhlal Edilen Varlık | Etkilenen Bireyler |
|---|---|
| HCA Sağlık | 11,3 Milyon |
| Perry Johnson ve Ortakları | 9 Milyon |
| Kuzey Amerika’nın Yönetilen Bakımı | 8,9 Milyon |
| Welltok | 8,5 Milyon |
| PharMerica | 5,8 Milyon |
| SağlıkEC | 4.5 milyon |
| İntikamcılar | 4,2 Milyon |
| Colorado Sağlık Hizmetleri Politikası Bakanlığı | 4,1 Milyon |
| Regal Tıp Grubu | 3,4 Milyon |
| BakımKaynağı | 3,2 Milyon |
Perşembe günü itibarıyla, HHS Sivil Haklar Ofisi’nin 500 veya daha fazla kişiyi etkileyen PHI ihlallerine ilişkin raporları yayınlayan HIPAA İhlali Raporlama Aracı web sitesi, Temmuz ayında bildirilen, yaklaşık 11,3 milyon kişiyi etkileyen bir bilgisayar korsanlığı olayı olarak 2023’teki en büyük tek ihlali gösteriyor. Tennessee merkezli HCA Healthcare iş ortağı olarak.
Ancak Bilgi Güvenliği Medya Grubu tarafından web sitesinin daha ayrıntılı analizi, geçen yılki en büyük ihlalin aslında Nevada merkezli tıbbi transkripsiyon firması Perry Johnson & Associates tarafından Kasım ayında düzenleyicilere bildirilen bir veri hırsızlığı olayı olduğunu gösteriyor.
PJ&A, HHS’ye saldırının yaklaşık 9 milyon kişiyi etkilediğini bildirirken, şirketin müşterilerinden bazıları aynı PJ&A olayıyla bağlantılı olarak HHS’ye kendi ayrı ihlal raporlarını da sundu.
Perşembe günü itibarıyla, PJ&A saldırısından etkilenen tahmini toplam kişi sayısı, şirketin müşterileri tarafından son haftalarda HHS’ye sunulan çeşitli ihlal raporları dikkate alındığında 14 milyon civarında görünüyor (bkz: Terapi Sağlayıcısı 4 Milyon Hastaya PJ&A Hack’ini Bildiriyor).
Veri hırsızlığı veya fidye yazılımı saldırılarını içeren bilgisayar korsanlığı olayları 2023’te hızla arttı ve geçen yıl görülen rekor kıran sağlık verileri ihlali istatistiklerine katkıda bulundu (bkz.: 2023’ün En Kötü Sağlık Hizmetleri Hack’lerinin Değerlendirilmesi).
Bunlar arasında Progress Software’in MOVEit ve Fortra’nın GoAnywhere dosya aktarım uygulamaları gibi üçüncü taraf yazılımlara yapılan büyük hack’ler de vardı; bu da tüm sektörlerde dünya çapında binlerce mağdur kuruluşun ve sağlık hizmeti hastaları da dahil olmak üzere on milyonlarca kişinin bilgilerinin çalınmasına neden oldu.
Perşembe itibarıyla, sağlık sektörünü etkileyen en büyük MOVEit olayının, Virgin Pulse’un bir parçası olan tıbbi hasta iletişim hizmetleri sağlayıcısı Welltok tarafından bildirildiği görülüyor. Welltok’un MOVEit ihlali şu ana kadar yaklaşık 8,5 milyon kişiyi etkiledi.
Şimdi İşlerin Kötü Olduğunu mu Düşünüyorsunuz? Sadece bekle.
Bazı uzmanlar, siber tehditlerin artan karmaşıklığı ve sağlık verilerinin yüksek değeri göz önüne alındığında, sağlık sektörü kuruluşlarının durumunun 2024’te daha da kötüleşebileceğini tahmin ediyor.
Güvenlik firması Critical Insight’ın kurucu ortağı ve CISO’su Mike Hamilton, şimdiden en son sağlık verilerinin hacklenmesinde yeni endişe verici gelişmelerin ortaya çıktığını söyledi.
“Çalınan kayıtları farklı şekillerde kullanma eğilimi rahatsız edici; yalnızca kayıtları ifşa edilen hastalarla doğrudan iletişime geçmek ve onlara ‘satın alma’ ayrıcalıkları sunmak değil, aynı zamanda kendi düzenleyici ve yasal kurallarımıza başka bir tehdit olarak atıfta bulunmak: ‘Bize ödeme yapın’ Çünkü toplu dava çok daha pahalı olacak” dedi.
Güvenlik firması Dasera’nın CEO’su ve kurucu ortağı Ani Chaudhuri, bu arada, proaktif önlemlerin yoğunlaştırılmaması halinde sektörün dijital çözümlere olan bağımlılığının zorluklar yaratmaya devam edeceğini söyledi.
“Kuruluşlar, hassas verilerin görünürlüğüne, kontrolüne ve sürekli izlenmesine odaklanan kapsamlı, otomatikleştirilmiş çözümler benimseyerek veri güvenliği stratejilerini geliştirmelidir. Önemli olan yalnızca ihlallere tepki vermek değil, aynı zamanda tüm verilerin nerede bulunduğunu anlayarak ve sağlam yönetişim sağlayarak bunları önlemektir. ” dedi Chaudhuri.
“Veri kullanımı ve erişimindeki anormallikleri tespit etmenin yanı sıra kapsamlı veri yönetişimi ve yönetimini sağlamak için otomatik ve sürekli izleme sistemlerinin uygulanması kritik bir adımdır. Sağlık hizmetleri verileri siber suçlular için birincil hedef olmaya devam ederken, bu gelişmiş önlemler hassas hasta bilgilerini korumak ve sağlık sektörüne olan güveni sürdürmek.”
Düzenleyici Eylem
HHS OCR, ISMG’ye yaptığı açıklamada, bilgisayar korsanlığının 2023’te OCR’ye bildirilen en sık görülen büyük ihlal türü olduğunu ve ağ sunucularının, ihlallerin ağırlıklı “konumu” olduğunu söyledi. Ajans, fidye yazılımının bildirilen bilgisayar korsanlığı olaylarının önemli bir alt kümesi olduğunu söyledi.*
HHS OCR, “Düzenlenen kuruluşlar HIPAA Güvenlik Kuralı gerekliliklerinin tümünü uyguladıklarından emin olmalıdır” dedi.
Ancak buna ek olarak geçen hafta HHS, kuruluşların güvenlik duruşlarını iyileştirmek için benimsemeleri gereken “temel” ve “gelişmiş” siber güvenlik performans hedeflerini destekleyen bir kılavuz yayınladı (bkz: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS OCR, ISMG’ye yeni CPG’lerin aynı zamanda düzenlenmiş kuruluşlara siber saldırılara karşı savunma ve ePHI’yi koruma konusunda da yardımcı olabileceğini söyledi.
HHS, hedefleri “gönüllü” olarak nitelendirirken, Biden yönetimi, bu baharda HIPAA Güvenlik Kuralı için planlanan bir güncelleme ve CPG’lerin benimsenmesini teşvik etmek için yeni potansiyel düzenleyici çubuklar ve havuçlar yoluyla yeni gereksinimlere yönelik planların sinyalini verdi. Ulusal Standartlar ve Teknoloji Enstitüsü’nün Siber Güvenlik Çerçevesi ve diğer sektördeki en iyi uygulamalar.
Siber risk firması CyberSaint’in kurucusu ve baş inovasyon sorumlusu Padraic O’Reilly, “Ulusal güvenlik, hasta hakları, yapay zekanın hem sağlık hizmetlerinde hem de saldırılarda ilerlemesi; tüm bu faktörler federallerin çabalarının arkasında yer alıyor” dedi.
O’Reilly, “CPG’leri Medicare ve Medicaid’e bağlama potansiyeli endüstriyi harekete geçirecek ve ben genellikle bir miktar yaptırım söz konusu olduğunda uygulamalardan olumlu sonuçlar alıyorum. Buna Menkul Kıymetler ve Borsa Komisyonu da dahil” dedi.
Sağlık sektörünün, hastaneleri, klinikleri, sigorta şirketlerini ve bu kuruluşların bakım sağlamasına yardımcı olan binlerce üçüncü tarafı hedef alan sürekli gelişen dolandırıcılıklarında siber suçluların daha da gerisine düşmekten kaçınmak için güvenlik çabalarını hızlandırması gerekiyor.
WilmerHale hukuk firmasından gizlilik avukatı Kirk Nahra, “Güvenlik ihlalleri sağlık sektöründe ve daha genel olarak büyük bir endişe kaynağı olmaya devam ediyor ve olmaya devam edecek” dedi.
“Siber saldırganlar açıkça daha karmaşık hale geliyor – ancak saldırının özellikle karmaşık görünmediği durumlar hala mevcut” dedi.
Nahra, bu ihlallere birden fazla faktörün katkıda bulunduğunu söyledi. “Güvenlik sistemlerinin sürekli ve sürekli olarak dikkat edilmesi ve güncellenmesine ihtiyaç var. Satıcılara dikkat edilmesi gerekiyor. Ancak aynı zamanda uzun iş ortakları zincirlerinde bunu yapmak giderek zorlaşıyor” dedi.
“Bildirilen iş ortaklığı ihlallerinin çoğu, birden fazla yolun ve müşteri seviyesinin olduğu, çoğu zaman bazılarının sağlıkla ilgili bile olmadığı durumlarda, alt kuruluşlarla ilgilidir” dedi.
Kuruluşun olay müdahale planlarına daha fazla dikkat etmesi gerekiyor. Nahra, ihlallere yanıt vermek için iyi bir yönteme sahip olduklarından emin olmaları ve iş ortaklarının dahil olduğu olayların – mümkünse – önceden nasıl ele alınacağı konusunda bilgi içermeleri gerektiğini söyledi.
HHS OCR’nin bu olaylarda yardımcı olmanın yollarını araması ve doğru olanı yapmaya çalışan ancak her durumda saldırıya uğrayan şirketleri cezalandırmaktan kaçınması gerektiğini söyledi. “Daha fazla rehberlik iyidir, ancak karşılanacak ilave ve paralel standartlar oluşturmak verimli olmayacaktır. Bu ‘mağduru cezalandırma’ yaklaşımı, kapsam dahilindeki kuruluşlar veya sağlık sistemi için nihai olarak yararlı olmayacaktır.”
Kaynaklar Bol
HITprivacy LLS danışmanlığından gizlilik avukatı David Holtzman, kuruluşların araştırmaya istekli olması durumunda, özellikle sağlık hizmetleri genelinde bulunan teknoloji dizisini ve kullanım örneklerini ele alan çok sayıda siber güvenlik kaynağının mevcut olduğunu söyledi.
Holtzman, bunların arasında yakın zamanda geliştirilen, pek çok sağlık kuruluşuna yardımcı olabilecek kaynaklar için bir bilgi takas merkezi olan HHS Sağlık/Halk Sağlığı Siber Ağ Geçidini de içerdiğini söyledi. “Tüm sağlık kuruluşları için etkili olacak sihirli bir çözüm veya herkese uyan tek bir yaklaşım yok, ancak birçok kullanım durumunun ele alınmasına yardımcı olacak kaynaklar mevcut.”
*Güncelleme: HHS OCR’dan açıklama eklendi. 1 Şubat 23:03 UTC.