İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
Davranışsal Sağlık Kliniklerine Yönelik Son Saldırılar Arasında Arisa Health’te Veri Hırsızlığı
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
6 Ağustos 2024
Arkansas merkezli bir akıl ve davranış sağlığı hizmetleri sağlayıcısı, 375.000’den fazla kişiye hassas kişisel ve tıbbi bilgilerini tehlikeye atabilecek yakın tarihli bir veri hırsızlığı olayı hakkında bildirimde bulunuyor. Sağlayıcı, ihlalin ardından halihazırda en az bir federal toplu dava önerisiyle karşı karşıya.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Arisa Health, 19 Temmuz’da federal düzenleyicilere 375.436 kişiyi etkileyen bir ağ sunucusuyla ilgili bir bilgisayar korsanlığı olayını bildirdi. Arisa Health, web sitesinde yayınlanan bir ihlal bildiriminde, Counseling Associates, Inc., Ozark Guidance Center, Inc., Professional Counseling Associates Inc. ve Mid-South Health Systems olarak faaliyet gösteren Northeast Arkansas Community Mental Health Center dahil olmak üzere birden fazla yan kuruluşun olaydan etkilendiğini söyledi.
Arisa Health ve bağlı kuruluşları, okul temelli davranışsal sağlık, uyuşturucu ve alkol güvenliği eğitimi, acil kriz müdahalesi ve terapötik koruyucu bakım programı dahil olmak üzere çeşitli ruh sağlığı hizmetleri sunmaktadır. Şirket, bu hizmetlerden bazılarını Arkansas İnsan Hizmetleri Departmanı ve çeşitli yerel kurumlarla yaptığı sözleşmeler aracılığıyla sağlamaktadır.
İhlal Detayları
Arisa Health, 18 Mart’ta ağ bağlantısını etkileyen bir siber güvenlik olayı yaşadığını bildirdi.
Arisa Health’in olayla ilgili soruşturması, 1 Mart ile 18 Mart tarihleri arasında yetkisiz bir kişinin, potansiyel olarak tam ad, adres, doğum tarihi, e-posta adresi, Sosyal Güvenlik numarası, tıbbi kayıt numarası, sağlık sigortası numarası veya üye kimliği, madde bağımlılığı programının tamamlanma sertifikası, tıbbi geçmiş ve teşhis ve ehliyet numarasını içerebilecek kişisel bilgileri içeren belirli dosyalara eriştiğini veya bunları elde ettiğini doğruladı.
Arisa Health, “Bu olayın doğrudan bir sonucu olarak kimlik hırsızlığı veya tıbbi/finansal dolandırıcılık için herhangi bir kişisel bilginin kötüye kullanıldığına veya kullanılacağına dair hiçbir kanıtımız yok” dedi. Sosyal Güvenlik numaraları olaydan etkilenen kişilere ücretsiz kimlik ve kredi izleme hizmeti sunuluyor.
Arisa Health, Information Security Media Group’un olayda fidye yazılımının yer alıp almadığı ve tehdit aktörlerinin fidye talep edip etmediği gibi ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Benzer Saldırılar
Arisa Health’e yapılan saldırı, son aylarda ruh ve davranış sağlığı hizmetleri sağlayıcılarını ilgilendiren bir dizi büyük hack olayından biri.
Sağlık ve Sosyal Hizmetler Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesinde, 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerinin listelendiği web sitesinde, 2024 yılında şu ana kadar ruh sağlığı veya davranış sağlığı kuruluşlarını ilgilendiren en az bir düzine büyük bilgisayar korsanlığı olayının bildirildiği belirtiliyor.
Arisa Health’in ihlali, bu yıl şimdiye kadar bir ruh sağlığı sağlayıcısı tarafından HHS Sivil Haklar Ofisi’ne bildirilen en büyük olaydır. Ancak en azından bir kuruluş, Teksas merkezli Harris Ruh Sağlığı Merkezi, yaklaşık dört aylık bir zaman diliminde toplamda 600.000’den fazla kişiyi etkileyen iki büyük bilgisayar korsanlığı olayı bildirdi – Ocak 2024 ve Ağustos 2023’te (bkz: Ontario Hastaneleri Bir Ay Sürecek Fidye Yazılımı Kurtarma Sürecini Bekliyor).
FTI Consulting’de siber güvenlik ve veri gizliliği iletişimleri yönetici müdürü Brett Callow, “Planlama, sağlık kuruluşları için özellikle önemlidir çünkü bir olayın sonuçları – hem hasta bakımının sunumuna doğrudan etkisi hem de sağlayıcıların elinde bulundurduğu bilgilerin hassasiyeti nedeniyle itibar kaybı potansiyeli açısından – oldukça şiddetli olabilir” dedi.
Bazı uzmanlar, sağlık sektöründeki kuruluşlara yönelik saldırıların çoğunun keyfi gibi görünse de bazı siber suçluların özellikle hassas hasta kayıtlarını işleyen sağlayıcılara yönelmesinin mümkün olduğunu söyledi.
Danışmanlık firması twSecurity’nin başkanı Tom Walsh, “Bir saldırganın motivasyonunun ne olduğunu asla bilemeyebiliriz. Deneyimlerime göre birçok saldırı rastgele gerçekleşiyor; çabaların birçok hedefe yayıldığı ve saldırganın kolayca istismar edebileceği fırsatlar aradığı bir strateji,” diyor.
“Ancak hasta verilerinin son derece hassas yapısı, şantaj, kimlik hırsızlığı veya karanlık web’de satış için değerli olan bilgiler olması nedeniyle saldırganların özellikle ruh sağlığı ve davranışsal sağlık kuruluşlarını hedef alması da mümkün olabilir” dedi.
“Belki de bu kuruluşların, bir ihlal bildirimi nedeniyle ortaya çıkabilecek utanç, itibar kaybı ve hukuki davalardan kaçınmak için daha yüksek bir fidye ödeyecekleri düşünülüyor.”
Arisa Health, ihlalin ardından en azından bir federal toplu dava önerisiyle karşı karşıya.
31 Temmuz’da Arkansas federal mahkemesinde, kendisi ve benzer durumdaki kişiler adına Arisa Health davranışsal sağlık hastası olan Nicholas Burgess tarafından açılan dava dilekçesinde, diğer iddiaların yanı sıra, Arisa Health’in bilgisayar sistemlerini ve verilerini düzgün bir şekilde koruyup muhafaza etmede “ihmalkar ve pervasız” davrandığı ve bu durumun davacıyı ve sınıf üyelerini kimlik hırsızlığı ve dolandırıcılık suçlarına karşı riske attığı iddia ediliyor.
Davada, maddi tazminat, cebinden yapılan masrafların geri ödenmesi ve Arisa Health’in veri güvenlik sistemlerinde iyileştirmeler, gelecekte yapılacak yıllık denetimler ve Arisa Health tarafından finanse edilen “yeterli” kredi izleme hizmetleri de dahil olmak üzere ihtiyati tedbir talep ediliyor.
FTI Consulting’in siber güvenlik uygulamaları yönetici direktörü Matt Chevraux, “Siber suçlular için akıl sağlığı kayıtlarını fidye veya gasp amacıyla çalmak çok kazançlı olabilir çünkü kimse bu bilgilerin ifşa edilmesini veya kamuoyuna açıklanmasını istemez” dedi.
“Siber suçlular ayrıca ruh sağlığı/davranışsal sağlık merkezlerini büyük hastane sistemlerine göre daha küçük ölçekli ve kapsamlı olarak algılayabilir ve bu nedenle aynı düzeyde siber güvenliğe sahip olmayabilirler; bu da onları hassas veriler için daha kolay hedef haline getirebilir” dedi.
Gerçekten de, ABD’deki birçok ruh sağlığı ve davranışsal sağlık örgütü yetersiz fonlanmaya meyillidir, dedi Walsh. “Bu, hasta verilerinin tehlikeye atılmasını önleme işini daha da zorlaştırıyor.”