Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Oklahoma Integris Health, 2023 İhlalinde Çok Sayıda Davayla Karşı Karşıya
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
14 Şubat 2024
Kasım ayında Integris Health’e yapılan bir saldırı tahmini olarak 2,4 milyon insanı etkiledi ancak veri ihlalinin etkileri bununla bitmedi. En az bir çocuk, MJ ve Oklahoma’lı annesi Teresa Johnston, siber suçluların çalınan verileri kendilerinden zorla para almak için kullandığını söylüyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Johnston, Aralık ayında siber suçlulardan kendisinin ve çocuğunun 5 Ocak 2024’ten önce 50 dolar fidye ödemesini, aksi takdirde MJ’in verilerinin karanlık ağdaki veri komisyoncularına satılmasını talep eden bir e-postayı açtı.
Johnston, MJ’in Sosyal Güvenlik numarası da dahil olmak üzere kişisel bilgilerini kanıt olarak gösteren gasp e-postasının, MJ’in kaygısına, uyku kaybına ve “sürekli endişe durumuna” neden olduğunu iddia ediyor.
İhlalin ardından Integris Health’e karşı açılan yaklaşık bir düzine toplu davadan birine göre en büyük korkusu, genç MJ ve diğerlerinin kişisel bilgilerinin kimlik dolandırıcılığı amacıyla kullanılabilmesi ve “şu anda siber suçluların eline geçmesi” hayatlarının geri kalanında kişisel bilgilerini hain amaçlar için kullanacaklar.”
Johnston, davayı 19 Ocak’ta Oklahoma federal mahkemesinde açtı.
Hastaneler, özel klinikler ve aile bakım uygulamaları da dahil olmak üzere Oklahoma’nın kar amacı gütmeyen en büyük sağlık sistemi olan Integris Health, hackle ilgili birçok benzer davayla karşı karşıya. Sağlık grubu, 26 Ocak’ta federal düzenleyicilere 2,38 milyon insanı etkileyen bir ağ sunucusu ihlali bildirdi.
Şu ana kadar açılan davaların çoğu – Johnston tarafından açılan dava gibi – Oklahoma City merkezli Integris’in veri güvenliği uygulamalarını iyileştirmesi için mali tazminat ve ihtiyati tedbir kararı talep ediyor ve davacıların siber suçluların talebi üzerine temasa geçen belirsiz sayıda hasta arasında yer aldığını iddia ediyor. Hack sırasında çalınan kişilerin bilgilerinin karanlık bir web pazarından kaldırılması karşılığında fidye ödemeleri.
Johnston, Integris’in “yetersiz” veri güvenliğinin bir sonucu olarak, siber suçluların Integris’in yeterince korunmayan bilgisayar sistemlerine kolayca sızdığını ve MJ ile diğer hastaların kişisel bilgilerini çaldığını iddia ediyor.
Davada, 24 Aralık’tan 27 Aralık’a kadar davacılar ve sınıf üyelerinin siber suçlulardan, Kasım ayında bilgileri ele geçirilen 2 milyon Integris hastası arasında olduklarına dair uyarı içeren e-postalar almaya başladıkları iddia ediliyor.
“Siber suçlular, e-postada davacılara ve sınıf üyelerine açıkça şunu belirtti: ‘Bu mesajı alıyorsanız, verileriniz [sic] Siber suçlular, bu e-postada Sosyal Güvenlik numaraları, doğum tarihi, adres, telefon, sigorta bilgileri ve işveren bilgileri gibi son derece hassas bilgilerin ele geçirilen veriler arasında yer aldığını söyledi.
“Siber suçlular ayrıca davacıları ve sınıf üyelerini “verilerinin satılacağı” yönünde tehdit etti [sic] Dava, “Belki de en rahatsız edici olan şey, siber suçluların e-postada MJ’in adresini, telefon numarasını, doğum tarihini ve Sosyal Güvenlik numarasını vermiş olmasıdır.” Johnston’ın davasında, MJ’in PII’sinin Integris’ten gerçekten çalındığının kanıtı olduğu iddia ediliyor.
Şikayette, siber suçluların daha sonra davacılara ve sınıfa, e-postada yer alan karanlık bir web bağlantısına (bir Tor şantaj sitesi) tıklamaları ve çalınan bilgileri için 50 dolar ödemeleri için 5 Ocak’a kadar süre vererek şantaj yaptıkları belirtildi. “Davacılar ve sınıf bunu başaramazsa, siber suçlular veritabanının tamamını 5 Ocak’ta veri simsarlarına satacağı tehdidinde bulundu.”
Davada, siber suçluların hack sonrasında Integris ile iletişime geçtiklerini iddia ettikleri ancak “Integris’in bu sorunu çözmeyi reddettiği” iddia ediliyor.
“Siber suçlulardan gelen bu rahatsız edici e-posta, MJ ve Class’ın yakın bir dolandırıcılık ve kimlik hırsızlığı riskiyle karşı karşıya olduğunu açıkça ortaya koyuyor. Integris, davacılar ve sınıf siber suçlular tarafından gasp edilene kadar veri ihlaliyle ilgili kamuya açık bir açıklama yapmadı. ” Johnston’ın davası iddia ediyor.
İhlal Ayrıntıları
Integris, 6 Şubat’ta web sitesinde güncellenen bir bildirimde, bilgisayar korsanlarının bazı hastalarla doğrudan iletişime geçtiğinin farkında olduğunu kabul etti.
“İnceleme devam ederken, 24 Aralık’ta Integris, bazı hastaların yetkisiz erişimin sorumluluğunu üstlenen bir gruptan iletişim almaya başladığını öğrendi. Bu tür iletişimleri alan herkesin gönderene yanıt vermemesini veya gönderene yanıt vermemesini veya gönderenle iletişim kurmamasını veya aşağıdaki yönergelerden herhangi birini takip etmemesini teşvik ediyoruz. Integris, “herhangi bir bağlantıya erişim de dahil olmak üzere talimatlar” dedi.
Integris’in bildiriminde kuruluşun belirli sistemlerde potansiyel yetkisiz faaliyet tespit ettiği belirtiliyor ancak bu keşif için bir tarih belirtilmez.
“Şüpheli faaliyetin farkına varılması üzerine Integris Health, derhal ortamın güvenliğini sağlamak için gerekli adımları attı ve faaliyetin niteliği ve kapsamı hakkında soruşturma başlattı. Soruşturmada, 28 Kasım’da bazı dosyalara yetkisiz bir tarafın eriştiği veya bu dosyalar tarafından ele geçirildiği belirlendi. ” Integris, bilginin türünü ve kiminle ilgili olduğunu belirlemek için etkilenen verilerin “kapsamlı bir incelemesini” yakın zamanda tamamladığını söyledi.
Integris, Bilgi Güvenliği Medya Grubu’nun olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.
Johnston ve çocuğu MJ’i temsil eden avukatlar da ISMG’nin yorum talebine hemen yanıt vermedi.
Sorunlu Trend
Uzmanlar, bilgisayar korsanlarının sağlık verisi ihlallerinden etkilenen hastalardan doğrudan fidye talep etmesinin bu saldırıların rahatsız edici bir evrimi olduğunu söylüyor.
Yakın zamanda gerçekleşen başka bir olayda, siber suçlular, kasım ayında yaklaşık 1 milyon kişiyi etkileyen bir siber saldırıyla vurulan Seattle merkezli Fred Hutchinson Kanser Merkezi’ndeki kanser hastalarından zorla para almanın bir yolu olarak swatlama tehdidini kullandı (bkz.: Siber Suçlular Kanser Hastalarına Saldırı Tehditleriyle Zorbalık Yapıyor).
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Siber suç çetelerinin kayıtları çalınan hastalarla doğrudan iletişime geçmesi giderek yaygınlaşıyor” dedi.
“Kurbanlarla doğrudan temas, fidye yazılımı ve çalınan kayıtların askıya alınmasıyla birlikte ‘üçlü gaspın’ bir çeşidi olarak kurumsallaşıyor” dedi. “Dehşete düşmüş hastalardan elde edilen gelir akışının yanı sıra, taktik, hastalarda toplu davanın garanti altına alınmasına yetecek kadar zihinsel ıstırap yaratmak ve gasp talebini ödemek için çok daha fazla teşvik sağlamak üzere tasarlanmış gibi görünüyor” dedi.
Hamilton, Integris’in saldırının sorumluluğunu üstlenen siber suçlu çetesini kamuya açık bir şekilde tanımlamamasına rağmen Lockbit, Clop, ALPHV ve diğerleri de dahil olmak üzere çeşitli grupların doğrudan hasta gaspı stratejisini benimsediğini söyledi.
“Bu bir trend haline geldiğinden, sağlık kuruluşları, kayıt hırsızlığının da bu taktiğin eşlik edeceğini varsaymalı ve etkilenen hastalara, şantaj talebini ödeyip ödemeyecekleri, bu tür bir müdahalede bulunup bulunmayacakları konusunda bilgi verecek politikalara ve iletişim planlarına sahip olmalıdır. kolluk kuvvetleri ve kuruluşun açıklanan bilgilerin etkisini nasıl sınırlayacağı” diye önerdi.
Ayrıca, bu gasp taktiğinin daha fazla düzenleyici ve hukuk davası tehdidini güçlendirmesi nedeniyle toplu davaya izin veren yasal dayanakların gözden geçirilmesi gerektiğini ileri sürüyor.
“Özellikle, kayıtlar her açıklandığında bir hastaneye dava açma olanağının sınırlandırılması, bu olumsuz teşviki ortadan kaldıracak ve sağlık sektörümüzü daha fazla mali sıkıntıdan kurtaracaktır” dedi.
Ayrıca ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın ulusal siber güvenlik stratejisinin kayıtların devalüasyonunu öngören kısmının nasıl uygulanacağına dair planlama yapması gerektiğini öne sürüyor. “Örneğin, hangi alanların başkalarıyla birlikte saklanmaması gerektiğini sınırlamak, öyle ki bu kurbanları tam olarak tanımlamak için birden fazla veri tabanının yeniden birleştirilmesi gerekecek” diye önerdi.