Veri ihlali bildirimi, veri güvenliği, sağlık hizmetleri
Senato Yardım Komitesi liderleri sigortacı soruyor: Siber saldırıda ne yanlış gitti?
Marianne Kolbasuk McGee (Healthinfosec) •
28 Ağustos 2025
Bir ABD Senatosu komitesi, şirketin henüz açıklanmayan sayıda Amerikalının kişisel ve sağlık bilgilerini tehlikeye atan son siber saldırıları hakkında sigorta devi AFLAC’dan ayrıntılar talep ediyor. İhlalin tam kapsamı bilinmese de, senatörler geçen yıl değişim sağlık mega ihlali için benzer bir inceleme yaptılar.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Senato Sağlık, Eğitim, Çalışma ve Emeklilik Komitesi’nden 22 Ağustos’ta gönderilen bir mektupta, Sen. Bill Cassidy, MD, R -La. Ve Sen. Maggie Hassan, DN.H., AFLAC CEO’su Daniel Amos’u, milletvekillerine olay ve şirketin siber uygulamaları hakkında detaylar sağlama konusunda, şirketin cyber ve fiziksel olarak, hem cyber) de dahil olmak üzere, Cy Cycle’a karşı koruma.
Milletvekilleri AFLAC’tan 5 Eylül’e kadar soruşturmalarına cevap vermelerini istedi.
Amerika Birleşik Devletleri’nin en büyük ek sağlık sigortası sağlayıcılarından biri olan AFLAC, ilk olarak 20 Haziran’da olayla ilgili ABD Menkul Kıymetler ve Borsa Komisyonu’nda düzenleyicileri uyardı. AFLAC, hack’in sigorta endüstrisini hedefleyen bir “siber suç kampanyasının” parçası gibi göründüğünü söyledi (bkz: AFLAC: ‘Siber Suç Kampanyası’ sigorta endüstrisini hedefliyor).
Milletvekilleri, kamuya açık açıklamalardaki AFLAC’ın “saatler içinde izinsiz girişi durdurduğunu” söylese de, senatörlerin saldırganların özel tüketiciye ve hasta verilerine erişip erişmedikleri konusunda “ek şeffaflık” talep ettiklerini belirtti.
Senatörler AFLAC’a “olaydan önce korunan sağlık bilgilerini nasıl koruduğunu ve şirketin ilerlemeyi planladığı adımları” sordu.
Pazartesi günü, ABD Sağlık ve İnsan Hizmetleri Bakanlığı ‘, kamu HIPAA Breach Raporlama Aracı web sitesinde, 8 Ağustos’ta bir ihlal raporu AFLAC’ın HIPAA korumalı sağlık bilgilerinin – bir yer tutucu tahmini – hack olayında gerçekten tehlikeye atıldığını doğrulayan (bakınız: bkz: bkz: Çiftçi Sigortası, AFLAC rapor verileri düzenleyicilere ihlaller).
Senatörler, siber tehditlerin sağlık sistemi ve Amerikalı hastalar için önemli bir risk oluşturduğunu yazdı.
“Geçen yıl, yaklaşık 276 milyon Amerikalıyı etkileyen 700’den fazla büyük veri ihlali vardı. Bu saldırılar sadece etkilenen kuruluşlara olay başına tahmini 9,77 milyon dolarlık bir maliyetle değil, aynı zamanda ilaç hataları ve gecikmiş hasta randevuları da dahil olmak üzere sağlık hizmetlerinde kesintilere yol açtı.” Dedi.
Mektup, “Çok sayıda federal ajans, son zamanlarda İran dahil düşman aktörlerin ABD sağlık kuruluşlarına karşı artan potansiyel saldırı riski konusunda uyardı.” Dedi.
“AFLAC’ın tamamlayıcı sigorta sistemlerini etkileyen son siber güvenlik olayı, hastalar ve diğer paydaşlar için devam eden riski vurgulamaktadır.”
Sigortacı saldırıları
Şubat 2024’te başka bir sağlık sigortası olan UnitedHealth Group’un BT Hizmetleri Birimi Değişim Sağlık Hizmetlerine yönelik bir fidye yazılımı saldırısı, ABD’de 192.7 milyon kişiyi etkileyen rekor kıran bir sağlık veri ihlali ile sonuçlandı (bakınız: UnitedHealth Group’un en son sağlık verileri ihlali sıkıntısı).
Mektubundaki senatörler, AFLAC’ın “diğer kritik altyapı sektörleri tarafından uygulanan” siber güvenlik en iyi uygulamalarını nasıl birleştirdiğini ve şirketin BT sistemlerinde bir siber saldırının ilk ne zaman farkına vardığını sordu.
“AFLAC, ‘potansiyel olarak etkilenen dosyaların talep bilgileri ve sağlık bilgileri içerdiğini’ belirtti. Hangi bilgilerin tehlikeye atılmış olabileceğini belirlemek için AFLAC hangi adımları alıyor? ” Senatörler sordu. “AFLAC bu bilgileri tanımlamak için ne zaman sonuçlandırmayı bekliyor?”
Milletvekilleri ayrıca AFLAC’ı şirketin potansiyel olarak etkilenen bireyler ve varlıklarla nasıl iletişim kurduğuna ve güvenliğini artırmak için hangi iyileştirici adımları attığına dair test etti.
Diyerek şöyle devam etti: “AFLAC, HIPAA kapsamındaki raporlama gereksinimlerinin ötesinde bilgilerini açıklayan bireyler için ne ek raporlama taahhüt ediyor?” Senatörler sordu.
Bazı siber güvenlik uzmanları, AFLAC’a yapılan son saldırının – ve Tokio Marine America’nın bir parçası olan iki Pennsylvania merkezli sigorta şirketi, Erie Tazminat ve Philadelphia Insurance’ın siber suç çetesi dağınık örümceğinin ayırt edici özelliklerine sahip olduğunu söyledi.
AFLAC, Bilgi Güvenliği Medya Grubu’nun milletvekillerinin soruşturması hakkında yorum yapma taleplerine ve AFLAC olayı hakkında ek ayrıntılar için hemen yanıt vermedi.
Ayrıca, Senato Yardım Komitesi, ISMG’nin Senatörlerin AFLAC’a yazdığı mektup hakkında yorum talebine ve komitenin olay hakkında bir duruşma planlayıp planlamayacağını hemen yanıtlamadı.
Geçen Kasım ayında, Cassidy ve Hassan, yardım komitesi üyeleri ile birlikte Sen. Mark Warner, D-Va. Ve Sen. John Cornyn, R-Texas, HHS Sekreteri ve Siber Güvenlik Altyapısı ve Güvenlik Ajansı’nın sağlık ve sağlık kuruluşunun sağlayıcılığını iyileştirmek için Halk ve Güvenlik Ajansı Direktörü’nü gerektiren Mevzuat-2024 Sağlık Siber Güvenliği ve Dayanıklılık Yasası’nı tanıttı.
Önerilen iki partili mevzuatın, son birkaç yıldır tanıtılan, sağlık sektörü siber güvenliğini iyileştirmenin yollarını arayan, ancak Kongre’de çekiş kazanmayan birkaç faturadan biridir (bakınız: Sağlık Siber Faturası Kurumsal Hesap Verebilirlik Çağrısı).