Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Boston Çocuk Sağlığı Doktorları, Olayın İsimsiz BT Satıcısından Kaynaklandığını Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
18 Ekim 2024
Fidye yazılımı çetesi BianLian, New York ve Connecticut’ta faaliyet gösteren bir pediatri grubu olan Boston Çocuk Sağlığı Doktorlarını karanlık web sitesinde listeledi ve çalınan hasta ve çalışan verilerini yayınlamakla tehdit etti. Uygulama, Eylül olayının bir BT satıcısıyla ilgili olduğunu söyledi.
Ayrıca bakınız: Üçüncü Taraf Ayrıcalıklı Erişimi: Sorunsuz. Verimli. Güvenli.
Valhalla, NY merkezli BCHP, web sitesinde yayınlanan bir bildirimde, 6 Eylül’de isimsiz bir BT satıcısının pediatri kliniğine sistemlerinde olağandışı bir aktivite tespit ettiğini bildirdiğini söyledi.
Uygulama, “10 Eylül 2024’te BCHP ağının sınırlı kısımlarında yetkisiz faaliyet tespit ettik ve koruyucu bir önlem olarak sistemlerimizin kapatılması da dahil olmak üzere olay müdahale protokollerimizi derhal başlattık” dedi.
BCHP’nin olayla ilgili soruşturması, “yetkisiz bir üçüncü tarafın” 10 Eylül’de uygulamanın ağına erişim sağladığını ve ağdaki bazı dosyaları aldığını belirledi.
Fidye yazılımı grubu BianLian, Cuma günü itibarıyla Boston Çocuk Sağlığı Doktorlarını karanlık web sitesinde listeledi ve finans verileri, İK verileri, posta kutuları ve dahili ve harici e-posta yazışmaları, veri tabanı aktarımları, korunan sağlık bilgileri ve kişisel olarak tanımlanabilir kayıtlar da dahil olmak üzere muayenehanenin verilerine sahip olduklarını iddia etti. , sağlık sigortası kayıtları ve reşit olmayanlara ait veriler.
BCHP ise bildiriminde, olayda ele geçirilen dosyaların mevcut ve eski çalışan, hasta ve garantör bilgilerini içerdiğini söyledi. Buna isimler, Sosyal Güvenlik numaraları, adresler, doğum tarihleri, sürücü belgesi numaraları, tıbbi kayıt numaraları, sağlık sigortası bilgileri, fatura bilgileri ve/veya sınırlı tedavi bilgileri dahildir.
BCHP, elektronik tıbbi kayıt sistemlerinin ayrı bir ağda olduğunu ve olaydan etkilenmediğini söyledi.
BCHP Beyanı
Bilgi Güvenliği Medya Grubu’na yapılan açıklamada BCHP, satıcı olayının etkisinin sadece BCHP ile sınırlı olmadığını ve şirketin “birkaç” müşterisinin de etkilendiğini söyledi.
BCHP, “Bunu öğrendikten sonra olayı izole etmek ve kontrol altına almak için hızlı bir şekilde harekete geçtik, sınıfının en iyisi siber güvenlik uzmanlarıyla iletişime geçtik ve kolluk kuvvetlerine bilgi verdik. Ayrıca sistemlerimizi korumak için ek teknoloji güvenliği protokolleri de uyguladık” dedi.
“Etkilenen bireyleri bilgilendirme sürecini başlattık ve siber güvenlik olayından etkilenenlere kaynak sağlayacağız.”
Uygulama, ağlarına “yoğun yatırım yaptığını” ve olayın ardından sistemlerini korumak için ek teknoloji güvenlik protokolleri uyguladığını da sözlerine ekledi.
BCHP, ISMG’nin BianLian’ın iddiaları hakkında yorum yapma ve etkilenen kişi sayısı ve olaya karışan BT sağlayıcısının kimliği de dahil olmak üzere olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Pediatri muayenehanesi, New York metropol bölgesi, Hudson Vadisi ve Connecticut’taki 60 ofiste 300’den fazla klinisyeni kapsamaktadır. Merkezi Boston’da bulunan Boston Çocuk Hastanesi bakım ağının bir parçası olan BCHP, aynı zamanda yerel olarak New York’ta Westchester Tıp Merkezi Maria Fareri Çocuk Hastanesi’ne de bağlıdır.
‘Korkunç tehditler’
Cuma günü itibarıyla BCHP olayı, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen HIPAA İhlal Raporlama Aracı web sitesinde yayınlanmadı.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, BCHP ihlalinin “sağlık mahremiyeti alanındaki en zorlu tehdit ve güvenlik açığını vurguladığını” söyledi.
“Suç amaçlı fidye yazılımı saldırıları tehdidi katlanarak arttı. Kötü amaçlı yazılımların ve suç planlarının artan karmaşıklığı da aynı derecede endişe verici” dedi. “Her ikisi de mağdurun zarar görme potansiyelini artırıyor.”
Ayrıca, üçüncü taraf iş ortaklarına yönelik saldırıların “başlıca suç hedefleri” olduğunu, çünkü başarılı bir saldırının satıcının tüm müşterilerinin kapılarını açabileceğini ekledi.
Cuma günü yayınlanan fidye yazılımı ve HIPAA güvenlik kuralıyla ilgili yeni kılavuzda, HHS Sivil Haklar Ofisi, ajansın 2019’dan 2023’e kadar bildirilen büyük fidye yazılımı ihlallerinin sayısında %102’lik bir artış gördüğünü söyledi.
Videoda HHS OCR’nin siber güvenlik kıdemli danışmanı Nicholas Heesters, “Fidye yazılımı da dahil olmak üzere siber saldırılar, sağlık sektörünün ve PHI’nın karşı karşıya olduğu en büyük siber güvenlik tehdidi olmaya devam ediyor” dedi.
Heesters, “OCR, fidye yazılımı nedeniyle güvenli olmayan PHI ihlalleri ve fidye yazılımı saldırılarıyla ilgili kamuya açık şikayetlerde bulunan üyeler nedeniyle ortaya çıkan çok sayıda düzenlemeye tabi kuruluşu araştırdı” dedi.
Heesters, “Bu araştırmalar çoğu zaman HIPAA Kurallarının, düzgün bir şekilde uygulanması durumunda bir fidye yazılımı saldırısını önleyebilecek veya en azından böyle bir saldırının etkisinin ciddiyetini azaltabilecek hükümlerine uyulmadığını ortaya çıkarıyor” dedi.
Avukat Hales, HIPAA Güvenlik Kuralının “fidye yazılımı saldırılarını önlemeye yönelik bir plan” olduğunu söyledi. Bununla birlikte, “güçlü bir HIPAA uyumluluk programına sahip olan kapalı bir kuruluş, iş ortağı bir fidye yazılımı saldırısına yenik düştüğünde hala savunmasızdır” diye ekledi.
GuidePoint Security’nin kıdemli güvenlik danışmanı Grayson North, Perşembe günü fidye yazılımı eğilimleri hakkında bir tehdit istihbarat raporu yayınlayan BianLian’a gelince, çetenin 2024’ün ilk dokuz ayında kurban hacmine göre sağlık sektörünü hedef alan ilk üç fidye yazılımı grubu arasında yer aldığını söyledi. 2024’ün üçüncü çeyreği.
LockBit ve RansomHub’un bu yıl şu ana kadar sağlık hizmetlerinde en çok başarılı olan diğer üç şirket olduğunu söyledi (bkz: Uzun Süreli 3 Sağlık Merkezi 740.000 Kişiyi Etkileyen Hack’leri Bildirdi).
Bu yılki diğer BianLian kurbanları arasında Tennessee merkezli Murfreesboro Tıp Kliniği ve SurgiCenter yer alıyor. Çetenin Nisan ayında gerçekleştirdiği bir saldırı, MMC’nin sağlık hizmetlerini birkaç gün boyunca kesintiye uğrattı ve 559.000 kişiyi etkileyen veri hırsızlığı ihlaliyle sonuçlandı (bkz.: Tennessee Kliniği: Nisan ‘BianLian’ Saldırısı 559.000 Kişiyi Etkiledi).
Ancak elbette diğer fidye yazılımı grupları da 2024’te şimdiye kadar pediatrik sağlık hizmeti sağlayıcıları da dahil olmak üzere sağlık kuruluşlarını da vurdu.
Buna Ocak ayında hizmet olarak fidye yazılımı grubu Rhysida’nın Chicago’daki Ann & Robert H. Lurie Çocuk Hastanesi’ne yaptığı saldırı da dahildir; bu saldırı, elektronik sağlık kayıtları da dahil olmak üzere tıp merkezinin sistemlerini haftalarca bozdu ve yaklaşık 800.000 kişiyi etkileyen bir ihlalle sonuçlandı ( Görmek: Çocuk Hastanesi Saldırıda 800.000 Veri Hırsızlığını Bildirdi).
Güvenlik firması Saviynt’in baş güven sorumlusu Jim Routh, “Hizmet olarak fidye yazılımı suçluları, geçtiğimiz yıl hastaneler gibi hayat kurtarıcı hizmetler sunan hedefli kuruluşlardan kaçınma uygulamasına artık bağlı kalmamaya karar verdi” dedi.
“Boston Çocuk Sağlığı Doktorları gibi sağlık sağlayıcılarının, ihtiyacı olanlara, bu durumda çocuklara, yüksek kalitede sağlık hizmeti sunmak gibi bir misyonu ve öncelikli odağı var. Hizmetlerinin aksaması, bakımdaki hastaların yaşam kalitesini etkiler ve kolaylıkla sağlık sorunlarına yol açabilir. Kritik hastalar için ölüm.”