Siber suç, veri ihlali bildirimi, veri güvenliği
Teksas olayı, 2025’te şimdiye kadar bir sağlık planı tarafından bildirilen en büyük ihlaldir
Marianne Kolbasuk McGee (Healthinfosec) •
14 Mart 2025
Teksas merkezli bir sigorta şirketi, hassas kişisel ve sağlık bilgilerine erişim ve kopyalama içeren Aralık ayında bir hack olayının 335.500’den fazla kişisini bilgilendiriyor. Hack, şirketin poliçe sahiplerinin, temsilcilerinin ve sigorta taşıyıcı ortaklarının birden fazla eyaletteki birçok – ama hepsi olmasa da, hepsini etkiliyor.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Teksas merkezli ancak Orta Batı ve Pennsylvania’da da faaliyetleri olan yeni dönem hayat sigortası şirketleri, 11 Şubat’ta federal düzenleyicilere açılan HIPAA ihlali raporunda kendisini bir sağlık planı olarak tanımladı.
Yeni ERA Hayat Sigortası’nı içeren yeni ERA Enterprises, aynı gün Hack’in çalışanlar, poliçe sahibi yararlanıcıları ve bağımsız temsilciler de dahil olmak üzere 16 eyalet sakinini etkilediğini söyleyerek Maine Başsavcısı’na bir ihlal raporu da sundu. Yeni ERA ayrıca Güney Carolina da dahil olmak üzere diğer birçok eyalete benzer ihlal raporları da sundu.
Şirket, ihlal bildiriminde, 18 Aralık’ta ağında şüpheli faaliyet belirlediğini söyledi. “Hemen belirli sistemlerin izole edilmesini ve bir üçüncü taraf siber güvenlik firmasının yardımıyla soruşturmaya başlamaya başlayan olay müdahale protokollerimizi hemen başlattık.” Yeni Era, kolluk kuvvetlerini de bildirdiğini söyledi.
Olayla ilgili soruşturma, “yetkisiz bir kişi” nin, 9 Aralık ve 18 Aralık tarihleri arasında bir haftadan fazla bir süredir şirketin ağına eriştiğini belirledi.
Yeni ERA, belirli poliçe sahiplerinin, temsilcilerin ve sigorta taşıyıcı ortaklarının bilgilerini içeren etkilenen verilerin tanımlanmış dosyalarının analizinin. Uzaklaşan bilgiler bireysel olarak değişti, ancak isimler, doğum tarihleri, sigorta kimliği numaraları ve tıbbi tanı veya tedavi bilgileri gibi talep bilgilerini içeriyordu. Şirket, bazı bireyler için sosyal güvenlik numaralarının da etkilendiğini söyledi.
Şirket, “Önemli olarak, bu olay tüm yeni ERA poliçe sahiplerini, temsilcileri ve sigorta taşıyıcı ortak verilerini içermedi – ancak yalnızca verileri ilgili dosyalarda yer alan kişiler.” Dedi.
Son günlerde birkaç sınıf eylem hukuku firması, potansiyel davalar için yeni ERA veri ihlalini araştırdıklarına dair kamuoyu bildirimleri yayınlamıştır.
İhlal raporunda yeni ERA’yı temsil eden bir avukat, bilgi güvenliği medya grubunun şirketin veri güvenliği olayı hakkında ek ayrıntı talebine hemen yanıt vermedi.
Şirket, etkilenen bireylere 12 aylık ücretsiz kimlik ve kredi izleme sunmaktadır. Ayrıca, gelecekteki benzer olayları önlemeye yardımcı olmak için New Era, ek korumalar ve teknik güvenlik önlemleri uyguladığını ve benimsemeye devam edeceğini söyledi.
Sağlık Planı Hacks
Cuma günü, yeni ERA hackleme olayı, sağlık planları tarafından ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na şu ana kadar bildirilen 10 olayı ihlali oldu.
2025 yılında tüm HIPAA tarafından düzenlenmiş varlıklar tarafından bildirilen toplam 122 büyük sağlık verisi ihlali dikkate alındığında, yeni ERA olayı dördüncü en büyük ihlal olarak yer almaktadır.
Uzmanlar, sağlık planlarının, değerli sağlık ve büyük bir bireyler için gerçekleştirdikleri ve tuttukları diğer kişisel bilgiler nedeniyle olayları ve diğer siber suç uzlaşmalarını hacklemek için genellikle hedefler olduğunu söyledi.
2024’te sağlık planları, federal düzenleyicilere 78 büyük ihlal bildirdi ve yaklaşık 17.7 milyon kişiyi etkiledi.
Bu rakamlar, geçen yıl büyük ölçüde yıkıcı fidye yazılımı saldırısına bağlı 190 milyon insanı etkileyen rekor kıran bir ihlal bildiren BT hizmetleri sağlayıcısı Change HealthCare de dahil olmak üzere sağlık sigortası sektörüne hizmet veren iş ortakları tarafından bildirilen ihlalleri hariç tutuyor.
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “HIPAA, büyük sağlık sigortası şirketlerinden küçük işveren destekli grup sağlık planlarına kadar çeşitli boyutlarda sağlık planlarını düzenliyor.” Dedi. “Büyük ticari sigorta şirketleri genellikle güçlü siber güvenliğe sahiptir. Bununla birlikte, boyutları güvenlik açıklarına izin verir. Bir kimlik avı e -postası, büyük 2016 marşı Inc.’in ihlalini başlattı.”
Diğer uzmanlar sağlık planlarının ve diğer ilgili kuruluşların siber suçlulara çok çekici geldiği konusunda hemfikirdir.
Danışmanlık firması Cyber Health Integrity’nin ana sahibi eski sağlık CIO David Finn, “Bu kuruluşlar sosyal güvenlik numaraları, tıbbi geçmişler ve finansal detaylar dahil olmak üzere hassas kişisel bilgileri depolar. Bu tür veriler karanlık web’de satılabilir veya kimlik hırsızlığı ve finansal sahtekarlık için kullanılabilir.” Dedi.
“Finansal kazancın ötesinde, bazı saldırılar siyasi veya ideolojik olarak motive edilir, sağlık sistemlerini yaygın bozulmaya neden olmayı hedefler.” Dedi. “Siber suçlular, sağlık operasyonlarının bozulmasının yaşam veya ölüm sonuçları olabileceğini bilirler. Bu aciliyet, kuruluşları genellikle hizmetleri geri getirmek için fidye ödemeye zorlar.” Dedi.
Bunun da ötesinde, sağlıkla ilgili birçok kuruluş hala modası geçmiş yazılım ve altyapıya güvenerek onları sömürüye karşı savunmasız hale getiriyor. “Bulut tabanlı veri yönetimine geçiş, verimli olsa da, uygun şekilde güvence altına alınmazsa güvenlik açıkları getiriyor.”
Finn, birçok sağlık planının siber güvenlik söz konusu olduğunda hastanelere ve sağlık sistemlerine benzer zorluklarla karşılaştığını, ancak derece ve ayrıntılar değişebileceğini söyledi. “Buradaki temel konular kaynak sınırlamaları içeriyor. Hastaneler gibi, sağlık planları da güçlü siber güvenlik önlemleri uygulamak için yeterli finansman veya vasıflı personelden yoksun olabilir.” Dedi.
Bu kuruluşların genellikle dijital savunmalar üzerinden operasyonel ihtiyaçlara öncelik verdiğini ve güvenlik açıklarını kontrolsüz bıraktığını söyledi. Sağlık hizmetlerinin aynı zamanda tüm kritik altyapı sektörlerinin “en hiper bağlantılı” sektörü olduğunu söyledi. “Hem sağlık planları hem de sağlık sistemleri, sağlayıcılar, ödeme yapanlar veya üçüncü taraflar arasında karmaşık veri paylaşımı ağlarıyla ilgileniyor. Bu, siber saldırılar için birden fazla giriş noktası oluşturuyor.”
Bununla birlikte, risk söz konusu olduğunda sağlık planları ve hastaneler arasında bazı önemli farklılıklar var.
Daha büyük sağlık planları, özellikle ulusal olanlar, daha küçük hastanelere veya kırsal sağlayıcılara kıyasla daha sağlam bütçelere ve siber güvenlik altyapısına sahip olabilir. Ayrıca, sağlık planları, bakım teslimi için hasta verilerine sabit ve anında erişim gerektiren hastanelere kıyasla daha az gerçek zamanlı operasyonel baskıya sahip olabilir.
“Hem sağlık planları hem de sağlayıcılar önemli siber güvenlik engelleriyle karşı karşıyadır ve her iki durumda da bu konuların ölçeği ve doğası genellikle organizasyonel büyüklüğe, kaynaklara ve önceliklere bağlıdır.”
Hales de benzer bir değerlendirme sundu. “Korunan sağlık bilgilerinin içeriği ve her türden sağlık planları tarafından ele alınan kişisel olarak tanımlanabilir bilgiler, onları suçlular için birincil hedefler haline getiriyor.” Dedi.
Diyerek şöyle devam etti: “Küçük grup sağlık planları genellikle titiz HIPAA korumalarından yoksun olduğu için saldırıya karşı savunmasızdırlar ve suçlulara büyük sağlık sigortası sigortacılarını istila etmek için bir arka kapı sağlayabilirler.”