İhlal Bildirimi, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
İhlal Bildirimine Göre Çalınan Veriler Hastanın Tıbbi Bilgilerini İçeriyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
9 Temmuz 2024
Pensilvanya merkezli bir borç tahsildarı, düzenleyicilere ilk olarak Nisan ayında bir bilgisayar korsanının 1,9 milyon kişinin kişisel tanımlanabilir bilgilerini tehlikeye attığını söyledi. Şimdi şirket, veri ihlalinin 4 milyondan fazla kişiyi etkilediğini ve hasta tıbbi bilgilerini içerdiğini söylüyor.
Ayrıca bakınız: Günümüzün Artan Siber Tehditlerinin Üstesinden Gelmek
Financial Business and Consumer Solutions, Pazartesi günü Maine başsavcısına sunduğu güncellenmiş ihlal raporunda, şirketin ilk olarak 26 Nisan’da bildirdiği bir saldırı olayından etkilenen 4 milyondan fazla kişiden yaklaşık 7.800’ünün Maine sakini olduğunu belirtti (bkz: İhlal Özeti: REvil Hacker’a Yaklaşık 14 Yıllık Ceza Verildi).
FBCS o zamandan beri aynı olay için Maine düzenleyicilerine dört güncellenmiş ihlal raporu sundu ve etkilenen kişi sayısı her seferinde arttı. Pazartesi günü FBCS’nin Maine başsavcısına sunduğu örnek bir ihlal bildirim mektubu da dahil olmak üzere son güncelleme, ilk kez hasta tıbbi bilgilerinin tehlikeye atılan veriler arasında olduğunu bildirdi.
FBCS, 4 Haziran’da ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi’ne, yaklaşık 209.000 kişiyi etkileyen bir HIPAA ihlali olarak saldırıyı bildirdi.
FBCS, Maine başsavcısına sunduğu son ihlal raporunda, 26 Şubat’ta ağındaki belirli sistemlere yetkisiz erişim keşfettiğini söyledi. Şirket, olayın FBCS’nin ağının dışındaki bilgisayar sistemlerini etkilemediğini söyledi.
FBCS’nin olayla ilgili soruşturması, 14-26 Şubat tarihleri arasında şirketin BT ortamına yetkisiz erişim sağlandığını ve bu süre zarfında yetkisiz kişilerin FBCS ağındaki belirli bilgileri görüntüleme veya edinme yetkisine sahip olduğunu tespit etti.
Olay sırasında erişilen veya sızdırılan bilgiler arasında kişilerin adı, Sosyal Güvenlik numarası, doğum tarihi, hesap bilgileri ve tıbbi bilgileri yer alıyor.
Etkilenen kişilere 12 ay boyunca kimlik ve kredi izleme hizmeti sunuluyor.
FBCS, Information Security Media Group’un, ihlalde tehlikeye atılan tıbbi bilgilerin türü ve etkilenen kişi sayısının neden artmaya devam ettiği gibi ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Borç Tahsildarı Riskleri
FBCS, milyonlarca kişiyi etkileyen ve tıbbi bilgilerin tehlikeye atıldığı büyük bir ihlali bildiren ilk borç tahsildarı değil.
22 milyondan fazla kişiyi etkileyen bu tür en büyük olay, müşterileri arasında ABD’deki en büyük tıbbi laboratuvarlardan bazılarının da bulunduğu American Medical Collection Agency tarafından ilk kez 2019’da bildirilen bir saldırıydı.
AMCA ve ana şirketi Retrieval-Masters Creditors Bureau, olayla ilgili olarak birkaç eyalet başsavcısından yaptırım eylemleri ve birden fazla önerilen toplu dava ile karşı karşıya kaldı. Şirket sonunda ihlalle ilişkili maliyetler nedeniyle iflas başvurusunda bulundu (bkz: AMCA’nın İhlal Sonrası İflas Başvurusu Etkisini Ortaya Çıkardı).
Bazı uzmanlar, müşterileri arasında sağlık şirketleri de bulunan ve bilgisayar korsanlığı ve diğer ihlallere maruz kalan alacak tahsildarlarının, kendileri ve müşterileri için bir dizi potansiyel veri güvenliği ve düzenleyici uyumluluk sorununa yol açabileceğini söyledi.
Düzenleyici avukat Rachel Rose, “Bir borç tahsildarı, kapsam dahilindeki bir kuruluş adına tıbbi hizmetler veya mallarla ilgili borçları tahsil ettiğinde HIPAA kapsamında bir iş ortağı olarak kabul edilir” dedi.
Borç tahsildarları, korunan sağlık bilgilerini işleyen ve HIPAA gizlilik, güvenlik ve ihlal bildirim kurallarının gerekliliklerine uymayan herhangi bir kapsam dahilindeki kuruluş, iş ortağı veya alt yüklenici ile aynı düzeyde risk oluşturmaktadır, dedi.
“Bunun nedeni, diğer iş ortaklarıyla aynı yükümlülüklere sahip olmaları ve bir ihlal durumunda, doğrudan kapsanan kuruluşun BT altyapısına bir arka kapı açabilmesidir. Bu, borç tahsilat acentesinin kapsanan kuruluşla hassas bilgileri nasıl paylaştığına bağlıdır.”
FBCS veya AMCA olaylarında yer almayan ancak diğer tıbbi borç tahsildarlarını temsil etmiş olan Rose, “Önemli olan, PHI’nin çeşitli giriş ve çıkış yollarını hesaba katan kapsamlı bir risk analizinin yapılmasıdır” dedi.
Rose, FBCS ihlalinin sürekli eğitim, kapsamlı uyumluluk programları ve yeterli teknik, idari ve fiziksel güvenlik önlemlerinin yerinde olmasının önemini vurguladığını söyledi. Buna, Ulusal Standartlar ve Teknolojiler Enstitüsü, 2015 Siber Güvenlik Yasası’nın 405(d) Bölümü ve HIPAA Güvenlik Kuralı tarafından önerilen en iyi uygulamaların uygulanması da dahildir dedi.