Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Sağlık hizmeti sağlayıcıları ülke çapında kurtarma hizmeti verileri ihlali kurbanları arasındadır.
Marianne Kolbasuk McGee (Healthinfosec) •
19 Mayıs 2025
Üçüncü taraf bir borç tahsilat firması olan Nationwide Recovery Service’de 2024 hack olayı, şimdiye kadar uzun ve büyüyen bir müşteri listesini ve en az yüz binlerce kişiyi etkiledi.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Kurbanlar Gürcistan’da 210.000 Harbin Kliniği hastası ve Hamilton Sağlık Hizmetleri olarak da bilinen yaklaşık 90.000 Teksas merkezli Vitruvian Sağlığı hastası ve sağlık ve diğer sektörlerde çok sayıda diğer firma yer alıyor.
Harbin Clinic, Cuma günü Maine Başsavcısı’na yapılan bir ihlal raporunda, NRS hackleme olayının 210.140 kişiyi etkilediğini, ancak Harbin Clinic’in kendi BT sistemlerini içermediğini söyledi.
Harbin Clinic, “NRS, Harbin Clinic’te tedavi edilen bireylerin suçlu hesapları için borç tahsilat hizmetleri ve iflaslar, davalar ve hasta arazisi meseleleri ile ilgili hizmetler sunan üçüncü taraf bir satıcıdır.” Dedi.
Harbin, “Temmuz 2024’te NRS’nin bilgi teknolojisi sistemleriyle ilgili şüpheli etkinlik keşfettiğini ve bu da bir ağ kesintisi ile sonuçlandığını anlıyor.” Dedi. NRS’nin soruşturması, 5 Temmuz 2024 ve 11 Temmuz 2024 arasında NRS ağına yetkisiz erişim olduğunu belirledi.
“NRS, etkilenen NRS sistemlerinde hangi bilgilerin bulunduğunu ve hangi NRS müşterilerinin etkilendiğini belirlemek için uzun bir inceleme başlattığını bildirdi.”
NRS, Harbin’e etkilenen bireylerin hasta hesaplarında listelenen garantörleri ve hastaları içerdiğini söyledi. Harbin, potansiyel olarak tehlikeye atılan bilgilerin isimleri, adresleri, sosyal güvenlik numaralarını, doğum tarihlerini ve finansal hesap bilgilerini içerdiğini söyledi.
Benzer şekilde, Vitruvian Health, NRS olayını 15 Nisan’da Maine Başsavcılığına bildirdi ve 88.848 hastayı etkiledi, ayrıca Virtuvian’ın kendi BT sistemlerinin hiçbirinin tehlikeye girmediğini söyledi.
NRS olayından etkilenen Virtruvian kuruluşları arasında Hamilton Sağlık Sistemi ve iştirakleri Hamilton Acil Tıp Hizmetleri, Hamilton Doktor Grubu, Hamilton Tıp Merkezi ve Anna Shaw Çocuk Enstitüsü bulunmaktadır. Potansiyel olarak tehlikeye atılan bilgiler, isimleri, adresleri, sosyal güvenlik numaralarını, doğum tarihlerini, finansal hesap bilgilerini ve diğer tıbbi bilgileri içerir.
Son haftalarda diğer birçok sağlık kuruluşu – ve diğer sektörlerdeki NRS müşterileri – olayla ilgili düzenleyicilere ihlal bildirimleri veya ihlal raporları sunmuştur.
Bu, ABD Sağlık ve İnsan Bakanlığı’na NRS Hack ile ilgili ihlal raporları veren diğer birçok sağlık kuruluşunu da içermektedir.
Şimdiye kadar olanlar arasında, 8 Nisan’da HHS’ye NRS hackleme olayının 21.000 hastayı etkilediğini bildiren Kuzeydoğu Georgia Sağlık Sistemi ve Tennessee’deki Rhea Tıp Merkezi, 10 Nisan’da NRS olayını 8.309 kişiyi etkilediğini bildirdi.
Diğer birkaç kuruluş ayrıca, Goodlettsville, Tennessee’nin Smile Solutions; Providence İsveçli – Eskiden Stevens Memorial Hastanesi – Washington Eyaletinde ve Kuzey Carolina’daki eski Murphy Tıp Merkezi Erlanger.
Pazartesi itibariyle, bu varlıkları içeren ihlal raporları henüz 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listeleyen HHS OCR HIPAA Breach Raporlama Aracı web sitesinde henüz yayınlanmamıştır.
Etkilenen diğer NRS müşterileri arasında Chattanooga şehri Tennessee. Şehir, şehir hizmetlerini kullanan 836 müşterinin saldırıdan etkilendiğini ve NRS’ye karşı dava açmayı düşündüğünü söyledi.
Tennessee merkezli NRS, hack olayını 9 Eylül 2024’te HHS OCR’ye bildirdi ve 501 kişiyi etkiledi, görünür bir yer tutucu tahmini.
NRS, bilgi güvenliği medya grubunun, etkilenen toplam müşteri ve birey sayısı da dahil olmak üzere, hackleme olayı hakkında ayrıntılar talebine hemen yanıt vermedi.
Pazartesi günü, NRS zaten, borç tahsildarının etkilenen bir müşteri ile birlikte ortak davalı olarak adlandırıldığı dava da dahil olmak üzere, hack olayını içeren birkaç federal sınıf eylem davası ile karşı karşıya kaldı.
22 Nisan’da NRS ve Vitruvian’a karşı açılan bu tür bir dava, diğer iddialar arasında, kuruluşların davacıların ve sınıf üyelerinin siber suçlardan gelen hassas bilgilerini korumada ihmal edildiğini iddia ediyor.
Borç Toplayıcı Hacks
NRS, sağlık sektöründeki kişiler de dahil olmak üzere, müşterilerin ve tüketicilerin lejyonlarını etkileyen bir hack olayı yaşayan ilk ulusal borç tahsildarı değildir.
2018 yılında Amerikan Tıbbi Koleksiyon Ajansı, 21 milyon kişinin kişisel ve sağlık verilerini tehlikeye atan, düzenleyici icra eylemleri, sivil davalarla sonuçlanan ve nihayetinde şirketi iflas başvurusunda bulunmaya iten bir hack olayı yaşadı (bkz: bkz: Borç tahsilat firması eyaletlerle ihlal anlaşmasına ulaşır).
Ensar Seker, Güvenlik firması Sokradar’da CISO, “Ülke çapında kurtarma hizmetleri gibi borç tahsilat firmalarını içeren olayları, hem firmaların müşterileri – sağlık hizmeti sağlayıcıları gibi) için çift katmanlı bir risk oluşturmaktadır.
Müşteriler için, bu ihlaller, ihlalin kendi altyapılarının dışında olsa bile, düzenleyici maruziyet, itibar hasarı ve hasta güveninin bozulması yaratıyor. “Hastalar sağlayıcı ve üçüncü taraf arasında bir ayrım yapmazlar. Verileri çalınırsa, kliniği sorumlu tutarlar. NRS vakasında görüldüğü gibi uzun bildirim gecikmeleri sadece bu etkiyi artırır.”
‘Siber suçlular için bir altın madeni’
Tüketiciler için risklerin özellikle şiddetli olduğunu söyledi. “Borç tahsilat firmaları genellikle zengin bir veri kombinasyonunu korur: tam isimler, sosyal güvenlik numaraları, olağanüstü bakiyeler, yasal vaka detayları, temas tarihi ve hatta bazen korunan sağlık bilgileri” dedi.
“Bu tür bilgiler, kimlik hırsızlığı, tıbbi sahtekarlık ve hedeflenen sosyal mühendisliğe katılan siber suçlular için bir altın madeni” dedi. “Saldırganların ikna edici dolandırıcılık yapmasına, kredi geçmişlerinden yararlanmasına veya sigorta taleplerini yeniden yönlendirmesine izin veriyor.”
Borç toplama ajansları çeşitli nedenlerden dolayı cazip hedeflerdir. Seker, “İlk olarak, yüksek değerli, yüksek hacimli veri kümelerini ele alıyorlar, ancak genellikle hizmet verdikleri sağlık veya finans sektörlerinin güvenlik olgunluğundan yoksun.” Dedi.
“İkincisi, genellikle siber güvenlik yatırımı açısından göz ardı edilen arka uç idari zincirinin bir parçasıdır. Üçüncüsü, işlerinin doğası – iflaslar, mülkler, dava – suçluların hızlı bir şekilde para kazanabileceği hassas bilgileri sakladıkları anlamına gelir.” Dedi.
Diyerek şöyle devam etti: “Bu firmalar bir ihlal gerçekleşene kadar genellikle radarın altındadır, ancak sağlık finansal tedarik zinciri içinde kritik altyapı olarak kabul edilmelidir.”
Güvenlik firması Knowbe4’te bir güvenlik farkındalığı savunucusu olan Erich Kron, benzer bir bakış açısı sunuyor.
“NRS gibi borç tahsilat firmaları, kötü aktörler tarafından sosyal mühendislik saldırıları ve dolandırıcılıklarda kullanılabilecek biraz hassas bilgiler toplar.” Dedi.
“Bir saldırgan, bir kişinin tıbbi prosedürü ne zaman ve nerede olduğunu tam olarak bilirse, bu bilgileri hedeflerini meşru olduklarına ikna etmek için kullanabilirler ve daha sonra bu güveni bireyleri yanlış hizmetler için ödemeye, kredi kartı bilgilerini çalmaya veya daha fazla bilgi toplamaya ikna etmek için kullanabilirler.” Dedi.
Örneğin, kötü bir aktör bir kişiyi arayabilir ve çalınan bilgilerden bilinen belirli bir günde bir prosedür olduğunu söyleyebilir ve onlara hala bir miktar borçlu olduklarını söyleyebilir.
Oradan ya parayı alabilir ya da kredi kartı bilgileri çalabilirlerdi, ancak gerçek bir etkinliğe atıfta bulundukları ve bu konuda ayrıntıları bildikleri için kurbanlar asla dolandırıldıklarını fark edemeyebilirler.
“Klinik ve NR’ler, hasta bilgilerinin kaybı için düzenleyici organlardan önemli para cezalarıyla karşı karşıya kalabilir.” Dedi. Diyerek şöyle devam etti: “Sağlık hizmetlerinin bu kadar yüksek düzenlenmiş bir endüstri olması nedeniyle, ilgili kuruluşlar üzerindeki etkinin müşterileri ile itibar kaybından daha fazlası olması muhtemeldir.”