Hastane Sisters Sağlık Sistemi, 882.000’den fazla hastayı Ağustos 2023 siber saldırının kişisel ve sağlık bilgilerini ortaya çıkaran bir veri ihlaline yol açtığını bildirdi.
1875 yılında kurulan HSHS, 2.200’den fazla doktorla çalışıyor ve yaklaşık 12.000 çalışanı var. Ayrıca, iki çocuk hastanesi de dahil olmak üzere Illinois ve Wisconsin’de bir doktor uygulamaları ve 15 yerel hastane ağı işletmektedir.
Kâr amacı gütmeyen sağlık sistemi, saldırganın HSHS’nin ağına erişim sağladığını tespit ettikten sonra, olayın 27 Ağustos 2023’te keşfedildiğini etkileyen veri ihlali bildirimlerinde söyledi.
Güvenlik ihlalinden sonra, sistemleri de Illinois ve Wisconsin hastanelerinde “neredeyse tüm işletim sistemleri” ve telefon sistemlerini düşüren yaygın bir kesintiden de etkilendi. HSHS ayrıca saldırıyı araştırmak, etkisini değerlendirmek ve BT ekibinin etkilenen sistemleri geri yüklemesine yardımcı olmak için harici güvenlik uzmanlarını kiraladı.
HSHS, Eylül 2024 açıklamasında, “Restorasyon için bir süreç oluştururken hasta güvenliğine öncelik veriyoruz. Üçüncü taraf uzmanların desteğiyle, sistemlerimizi mümkün olduğunca hızlı ve güvenli bir şekilde çevrimiçi olarak geri getiriyoruz.” Dedi. “Boyutumuzdaki bir sağlık sistemi, binlerce sunucuda yüzlerce sistem uygulaması işletiyor ve bu nedenle restorasyon ve soruşturma çalışmamızın tamamlanması biraz zaman alacak.
Olay ve sonuçta ortaya çıkan kesinti fidye yazılımı saldırısının tüm işaretlerine sahipken, hiçbir fidye yazılımı işlemi ihlali iddia etmedi.
Adli soruşturmanın ardından HSHS, saldırganların 16 Ağustos ve 27 Ağustos 2023 tarihleri arasında uzlaşmış sistemlerde dosyalara eriştiğini buldu.
“O zamandan beri bu dosyaları gözden geçiriyoruz ve incelememiz devam ettikçe bilgileri yuvarlanma esasına göre bulunan bireyleri bilgilendiriyoruz” dedi.
HSHS’nin sistemleri içindeyken tehdit aktörleri tarafından erişilen bilgiler, etkilenen her birey için değişir ve isim, adres, doğum tarihi, tıbbi kayıt numarası, sınırlı tedavi bilgileri, sağlık sigortası bilgileri, sosyal güvenlik numarası ve/ veya ehliyet numarası.
HSHS, kurbanların bilgilerinin sahtekarlık veya kimlik hırsızlığı girişimlerinde kullanıldığına dair bir kanıt bulunmadığını da sözlerine ekledi, ancak etkilenen bireyleri şüpheli faaliyetler için hesap beyanlarını ve kredi raporlarını izlemeleri konusunda uyardı. Sağlık sistemi ayrıca bir yıllık ihlalden etkilenenleri bir yıllık ücretsiz Equifax kredi izlemesi sunar.
Bir HSHS sözcüsü, veri ihlalinin fidye yazılımı saldırısından kaynaklanıp sonuçlanmadığını doğrulamak için bugün daha önce BleepingComputer tarafından temasa geçildiğinde hemen yorum yapmak için mevcut değildi.
Geçen hafta, Connecticut Sağlık Sağlayıcı Toplum Sağlığı Merkezi (CHC), 1 milyondan fazla veri ihlali hastasını uyarırken, dünyanın en büyük bağımsız kan toplama ve dağıtım organizasyonlarından biri olan New York Kan Merkezi (NYBC), bir fidye yazılım saldırısının zorladığını söyledi. Bazı randevuları yeniden planlamak için.
Bu ayın başlarında UnitedHealth, 190 milyon Amerikalının geçen yılki değişim sağlık fidye yazılımı saldırısında bilgilerinin çalındığını ve Ekim ayında açıklanan 100 milyonun iki katına çıktığını açıkladı.
Aralık ayı sonlarında, ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), büyük sağlık güvenliği ihlallerinin artmasına yanıt olarak hastaların sağlık verilerini güvence altına almak için HIPAA güncellemeleri önerdi.