İhlal Bildirimi, HIPAA/HITECH, Güvenlik Operasyonları
HHS OCR ‘Utanç Duvarı’nın Yıl Ortası Analizi, Saldırıların ve Tedarikçi İhlallerinin Listenin Başında Olduğunu Gösteriyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
11 Temmuz 2024
Saldırılar ve satıcı olayları 2024’te de büyük sağlık verisi ihlalleri trendlerine hakim olmaya devam ediyor, ancak bu yıl federal düzenleyicilere bildirilen büyük sağlık verisi ihlalleri listesinde “yetkisiz erişim veya ifşa” içeren bir avuç büyük olay da başı çekiyor.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
Sağlık ve Sosyal Hizmetler Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesinin Perşembe günü yayınlanan anlık görüntüsü, 1 Ocak ile 30 Haziran arasında veya 2024 yılının ortasına kadar toplam 44,8 milyon kişiyi etkileyen 384 büyük sağlık verisi ihlalinin bildirildiğini gösteriyor.
Bunlardan 298’inde veya yaklaşık %77’sinde, sağlık kuruluşları ve ortakları, HHS OCR web sitesinde görünen büyük sağlık verisi ihlallerinden bu yıl şu ana kadar etkilenen kişilerin yaklaşık %66’sını veya toplam 29,7 milyon kişiyi etkileyen bilgisayar korsanlığı olaylarını bildirdi.
Fizik tedavi sağlayıcısı Concentra Health, 2024’ün Ocak ayında HHS OCR web sitesinde şimdiye kadarki en büyük saldırıyı yayınladı. Yaklaşık 4 milyon kişiyi etkiledi.
Olay, tıbbi transkripsiyon hizmetleri firması Perry Johnson & Associates’in 2023’teki veri hırsızlığı saldırısını içeriyordu; geçen yıl şirketin bir düzineden fazla müşterisini etkiledi ve şu ana kadar yaklaşık 14 milyon kişiyi etkilediği anlaşılıyor (bkz: Tıbbi Transkripsiyoncunun Saldırısı En Az 9 Milyon Kişiyi Etkiledi).
Ancak milyonlarca kişinin korunan sağlık bilgileri yalnızca hack’lerle tehlikeye atılmadı. 15 milyondan fazla insanı etkileyen yetmiş olay HHS OCR’ye “yetkisiz erişim/ifşa” ihlalleri olarak bildirildi.
Perşembe günü itibarıyla, bu olaylardan biri bu yıl HHS OCR web sitesinde yayınlanan en büyük 10 sağlık verisi ihlali listesinde zirveye oturdu. Nisan ayında sağlık planı Kaiser Foundation tarafından bildirilen bu ihlal, kuruluşun web sitelerinde daha önce çevrimiçi izleyiciler kullanmasını içeriyordu ve “yetkisiz erişim/ifşa” olarak etiketlenen olayların aslan payı dahil olmak üzere 13,4 milyon kişiyi etkiledi (bkz: Kaiser Permanente 13,4 Milyon Kişiye Takipçi İhlali Bildiriyor).
Pensilvanya merkezli sağlık sistemi Geisinger tarafından bildirilen ve yaklaşık 1,3 milyon kişiyi etkilediği belirtilen bir başka yetkisiz erişim/ifşa ihlali, HHS OCR web sitesinde bu yıl şimdiye kadar bildirilen en büyük yedinci sağlık verisi ihlali oldu.
Bu olay, Geisinger’in bir iş ortağını içeriyordu – Microsoft’un bir birimi olan BT hizmetleri sağlayıcısı Nuance Communication’ın eski çalışanı. ABD Adalet Bakanlığı, Ocak ayında bu kişiyi “korunan bir bilgisayardan bilgi elde etmek” suçlamasıyla suçladı; bu, Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası uyarınca federal bir suçtur (bkz: Nuance Eski Çalışanı 1 Milyon Kişiyi Etkileyen İhlal Nedeniyle Suçlandı).
2024’te Şimdiye Kadarki En Büyük 10 Sağlık Verisi İhlali
| İhlal Edilen Varlık | Etkilenen Bireyler |
|---|---|
| Kaiser Vakfı | 13,4 Milyon |
| Konsantra Sağlık | 4 milyon |
| Sav-Rx | 2,8 Milyon |
| WebTPA | 2.5 milyon |
| Integris Sağlık | 2,4 Milyon |
| Tıbbi Yönetim Kaynak Grubu | 2,35 Milyon |
| Geisinger | 1.3 milyon |
| Doğu Radyologları | 887.000 |
| Üstün Hava-Kara Ambulans Hizmeti | 858.000 |
| Burada Birleşin | 791.000 |
Korunan sağlık bilgilerini işleyen satıcılar ve diğer üçüncü taraf iş ortakları, HHS OCR’ye bildirilen birçok büyük sağlık verisi ihlalinin merkezinde olmaya devam ediyor.
2024’te şimdiye kadar, iş ortaklarının 17,5 milyon kişiyi etkileyen 141 ihlalde “mevcut” olduğu bildirildi. Bu, bu yıl iş ortaklarının HHS OCR’ye bildirilen toplam büyük sağlık verisi ihlallerinin %40’ından sorumlu olduğu anlamına geliyor.
Yıl ortası sayımında şu ana kadar yer almayan en dikkat çekici şey, ana şirketi UnitedHealth Group’un tahminine göre Amerikan nüfusunun üçte birini etkileyen Change Healthcare’e yönelik Şubat ayındaki siber saldırıya ilişkin ihlal raporları oldu.
UnitedHealth Group, olaydan etkilenen müşteriler için ihlal bildirimi görevlerini üstlenmeyi teklif etti, bu nedenle Change Healthcare saldırısının HHS OCR web sitesinde, UHG tarafından kapsam dahilindeki kuruluşlar adına bildirilen yüzlerce ihlal olarak mı yoksa muhtemelen etkilenen milyonlarca kişinin toplam sayısını yansıtan tek bir rapor olarak mı görüneceği belirsiz (bkz: Eyalet Başsavcıları Tüketicileri Sağlık Hizmeti İhlali Konusunda Uyardı).
Change Healthcare’in saldırısı HHS OCR sayımına yansıdığında, 2024’teki saldırı sayılarının onlarca milyon artarak önemli ölçüde artması bekleniyor.
Ayrıca, Mayıs ayında Ascension hastane sistemine yapılan fidye yazılımı saldırısı da dahil olmak üzere, yakın zamanda gerçekleşen diğer önemli ihlallerle ilgili herhangi bir ihlal raporu da henüz bulunamadı (bkz: Çalışan Tarafından İndirilen Kötü Amaçlı Yazılım Ascension Fidye Yazılımı Saldırısına Neden Oldu).
Daha Büyük Mağdurlara Geçiş
Her ne kadar son birkaç yıldır büyük sağlık verisi ihlallerinde saldırılar ve iş ortaklarına yönelik ihlaller baskın temalar olsa da, bazı uzmanlar başka eğilimlerin de ortaya çıktığını görüyor.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Sağlık sektörünün hedeflenmesi, kesintiye uğradığında sektör genelinde büyük bir etkiye sahip olan daha büyük kuruluşlara kaymış gibi görünüyor” dedi.
Bu durum, ana şirketi UnitedHealth Group’un BlackCat saldırganlarına 22 milyon dolar fidye ödediğini kabul ettiği Change Healthcare’in hacklenmesinde de geçerliydi.
Hamilton, “Çalınan bu kayıtlar satılarak sıklıkla paraya çevrilmiyor; bunun yerine bir gasp aracı olarak kullanılıyor,” dedi. “Bu, toplu dava ve diğer davaların ek riskini beraberinde getiriyor ve suçlular bu riski biliyor ve bundan yararlanıyor.”
Sağlık sektöründe siber olayların öngörülebilir bir risk olduğunu, bu durumun önleyici kontrollerin yetersiz olduğunu ve riskin etki en aza indirilerek azaltılması gerektiğini gösterdiğini söyledi.
“Ağın, uç noktaların ve bulut uygulamalarının iyi bir şekilde izlenmesi, 7/24 analist denetimi ve etkili olay müdahalesi ile birleştirildiğinde, etkiyi en aza indirmek için en iyi yatırımlardan biridir.”
Bazı ihlal eğilimleri değişirken ve çoğu durumda kötüleşirken, HHS OCR ihlali web sitesinin son görüntüsü, bazı alanlarda iyileşme belirtilerinin devam ettiğini gösteriyor.
2024’te şimdiye kadar, toplam 51.000 kişiyi etkileyen sadece sekiz ihlal, şifrelenmemiş dizüstü bilgisayarlar, sunucular ve benzeri donanımları içeren hırsızlık/kayıp olaylarıyla ilişkilendirildi. On yıldan daha kısa bir süre önce, bu tür ihlaller “utanç duvarı”na hakimdi ve her yıl milyonlarca kişiyi etkiliyordu.
Son yıllarda, daha fazla kuruluşun bu ürünlerde şifreleme uygulamasına geçmesiyle birlikte, bilgi işlem ve mobil cihazların kaybolması ve çalınmasıyla ilgili HIPAA ihlalleri azaldı.
HHS OCR web sitesi, Eylül 2009’dan bu yana bildirilen, 585,2 milyondan fazla kişiyi etkileyen toplam 6.292 büyük sağlık verisi ihlalini gösteriyor.