Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, HIPAA/HITECH
Araştırmacılar Enzo Biochem’in Bilinen Güvenlik Risklerini Düzeltmedeki Başarısızlığını Vurguladı
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
14 Ağustos 2024
New York merkezli biyoteknoloji firması Enzo Biochem, ülke çapında 2,4 milyon hastayı etkileyen 2023 yılındaki bir fidye yazılımı saldırısı nedeniyle eyalete 4,5 milyon dolar para cezası ödeyecek ve bir dizi güvenlik iyileştirmesi uygulamak zorunda kalacak.
Ayrıca bakınız: Siber Tehdit Algılama ve Müdahale: Kör Noktaları Ortadan Kaldırın
Araştırmacılar, şirketin bilinen güvenlik risklerini düzeltmedeki başarısızlığı ve on yıldır değişmeyen bir parola da dahil olmak üzere yönetici kimlik bilgilerinin paylaşılması uygulaması da dahil olmak üzere uzun bir siber güvenlik sorunları listesine dikkat çekti.
New York, New Jersey ve Connecticut başsavcılarının genetik test ve laboratuvar hizmetleri şirketine karşı açtığı dava, HIPAA ile eyalet tüketici yasalarını ihlal ettiği iddia edilen çeşitli veri güvenliği eksikliklerini ve uygulamalarını ortaya çıkaran bir veri ihlali soruşturmasının ardından açıldı.
New York Başsavcısı Letitia James yaptığı açıklamada, “Kan testi veya tıbbi test yaptırmak, hastaların kişisel ve sağlık bilgilerinin siber suçlular tarafından çalınmasına yol açmamalıdır.” dedi.
En çok vatandaşın etkilendiği New York – 1,5 milyon hasta – 4,5 milyon dolarlık para cezasının 2,8 milyon dolarını alacak. 331.600 sakini etkilenen New Jersey 930.000 dolar alacak; ve 193.000 tüketicinin etkilendiği Connecticut yaklaşık 743.111 dolar alacak.
Siber suçlular, Nisan 2023’te Enzo Biochem’e karşı gerçekleştirdikleri fidye yazılımı saldırısında milyonlarca hastanın adları, adresleri, doğum tarihleri, telefon numaraları ve Sosyal Güvenlik numaraları dahil olmak üzere sağlık ve kişisel bilgilerini içeren dosyaları ve verileri, ayrıca tıbbi tedavi ve teşhis bilgilerini çaldılar.
Bu bilgi siber suçlular için önemli bir hedeftir ve New York başsavcısı uyardı, “Enzo gibi veri güvenliğini önceliklendirmeyen sağlık şirketleri hastaları ciddi dolandırıcılık ve kimlik hırsızlığı riskine sokar. Veri güvenliği hasta güvenliğinin bir parçasıdır.”
İddia Edilen Güvenlik Arızaları
Eyalet başsavcıları raporlarında birkaç iddia edilen başarısızlığa dikkat çekerek, Enzo Biochem’in saldırıdan yaklaşık iki yıl önce Kasım 2021’de yapılan HIPAA risk analizinde ve ayrıca 2017’de Enzo’nun bilgi sistemlerine yönelik daha önceki bir risk analizinde bazı riskleri tespit ettiğini ve düzeltme adımları önerdiğini, ancak şirketin bunları uygulamadığını belirtti.
Enzo Biochem davasında yer almayan düzenleyici avukat Rachel Rose, “Başsavcılar, bu şirketin risk analizinde tespit edilen boşluklar olmasına rağmen bunların hiçbir zaman düzeltilmediğini ve bunun çok sorunlu olduğunu belirtti” dedi.
“Bu maddeler, 16 kritik altyapı sektöründen biri olan sağlık hizmetlerinde siber güvenliğe odaklanmanın ortadan kalkmayacağının altını çiziyor,” dedi Rose. “Bireysel olarak tanımlanabilir sağlık bilgilerini veya korunan sağlık bilgilerini oluşturma, alma, sürdürme veya iletmeyle ilgili tüm kişilerin gizlilik ve güvenliklerinin zirvesinde kalmaları gerekecek.”
İhlal Detayları
Başsavcılık, olayla ilgili hazırladığı raporda, saldırganların 2023 yılının nisan ayı başında Enzo’nun özel ağına uzaktan erişim sağladığını belirtti.
“Saldırganlar daha sonra yönetici ayrıcalıklarına sahip en az iki Enzo kullanıcı hesabı kullanarak ağda hareket edebildiler. Saldırganların kullandığı iki yönetici hesabına ait oturum açma bilgileri beş çalışan arasında paylaşıldı ve bu hesaplardan biriyle ilişkili kimlik bilgileri 10 yıldır değiştirilmemişti,” diyor rapor.
Saldırganlar, paylaşılan ağ alanında depolanan dosyalar ve bir veritabanı da dahil olmak üzere hasta bilgilerini içeren çeşitli Enzo sistemlerine ve verilerine eriştiler. Raporda, dosyaların veya verilerin hiçbirinin dosya düzeyinde şifrelenmediği belirtildi.
Bilgisayar korsanları ayrıca çeşitli Enzo sistemlerine kötü amaçlı yazılımlar yükledi. “4 Nisan 2023’te bu yazılım Enzo ağının dışındaki saldırgan kontrollü sunuculara ping atmaya başladı. Yazılım iki gün boyunca bu sunuculara bağlanmak için yüz binlerce girişimde bulundu,” diyor rapor.
Raporda, Enzo’nun güvenlik duvarının bu bağlantı girişimlerinin on binlercesini kötü amaçlı olarak tespit edip engellediği, ancak Enzo personelinin saldırganların faaliyetlerinden birkaç gün sonra haberdar olduğu, çünkü Enzo’nun şüpheli faaliyetleri izlemek veya bunlara ilişkin bildirimde bulunmak için bir sistem veya sürece sahip olmadığı belirtiliyor.
Saldırganlar, 5 Nisan 2023’te Enzo’ya ait yaklaşık 1,4 terabaytlık dosya ve hasta bilgilerini içeren verileri sızdırdı.
Raporda, “Saldırganlar ayrıca, saldırganların elinde bulunan şifre çözme anahtarı olmadan erişilemez hale getirerek, birkaç Enzo sistemini şifreleyen fidye yazılımı da kullandı. Enzo, şifrelenmiş sistemleri ve saldırıyı 6 Nisan 2023’te keşfetti” denildi.
Raporda, saldırganların şifrelenmiş dosyaların şifresini çözmek için şifre çözme anahtarını sağlamaları karşılığında fidye talep ettikleri ve çalınan bilgilerin kamuoyuyla paylaşılmaması gerektiği belirtildi.
Başsavcılar, Enzo’nun 6 Nisan 2023’te bir hukuk müşaviri ile anlaştığını ve bu müşavirin soruşturma yürütmek için bir siber güvenlik firmasıyla anlaştığını söyledi.
“Siber güvenlik firması saldırganların faaliyetlerine dair bazı kanıtlar bulabildi. Enzo, siber güvenlik firmasına olay anından itibaren günlük kaydı sağladı, bu kayıtlar sınırlıydı çünkü Enzo kullanıcı ve ağ aktivitesinin kapsamlı kayıtlarını tutmuyordu,” diyor rapor.
“Siber güvenlik firması, mevcut delillere dayanarak saldırganların başlangıçtaki saldırı vektörünü veya saldırganların yönetici ayrıcalıklarına sahip Enzo hesaplarını nasıl ele geçirdiklerini tespit edemedi.”
Adli soruşturma, fidye yazılımı şifrelemesini ve saldırganın araçlarının bir Enzo veritabanı sunucusunda bulunduğunu tespit etti. “Sadece analitik ve raporlama amaçları için kullanılan bu sunucu, Ekim 2012 ile Nisan 2023 arasında yaklaşık 2,4 milyon hasta için yapılan testlerle ilgili dosyaları içeriyordu,” diyor rapor. Ayrıca bir Enzo dosya sunucusundan veri sızdırıldığına dair kanıtlar da vardı.
Enzo Biochem, 6 Nisan 2023’te ABD Menkul Kıymetler ve Borsa Komisyonu’na olayı bildiren bir dosyada, şirketin felaket kurtarma planını etkinleştirdiğini ve sistemlerini tekrar çevrimiçi hale getirirken operasyonlarına devam edebileceğini belirtti (bkz: Laboratuvar Test Şirketi, Fidye Yazılımı İhlalinin 2,5 Milyon Kişiyi Etkilediğini Söyledi).
Şirket, saldırganlara fidye ödeyip ödemediğini veya olayın sorumluluğunu üstlenen fidye yazılımı grubunun kimliğini kamuoyuna açıklamadı.
Enzo Biochem, eyalet başsavcılarının şirkete karşı uyguladığı yaptırımlarla ilgili Information Security Media Group’un yorum talebine hemen yanıt vermedi.
Enzo Biochem, eyaletlerle yaptığı anlaşma gereği milyonlarca dolarlık mali cezayı ödemenin yanı sıra, kapsamlı bir programla siber güvenliğini güçlendirmek için bir dizi önlem de uygulayacak.
Bunlara, tüm bireysel kullanıcı hesapları için çok faktörlü kimlik doğrulamanın uygulanması ve sürdürülmesi; saklanan veya iletilen tüm kişisel bilgilerin şifrelenmesi; yıllık risk değerlendirmelerinin yapılması ve belgelenmesi; olası veri güvenliği sorunları için kapsamlı bir olay yanıt planının geliştirilmesi, uygulanması ve sürdürülmesi dahildir.