İhlal Bildirimi , Dolandırıcılık Yönetimi ve Siber Suçlar , HIPAA/HITECH
NextGen’in İhlali, Daha Önce Olduğu İddia Edilen Bir Olayda BlackCat’in İddialarını Takip Eder
Marianne Kolbasuk McGee (SağlıkBilgisi) •
8 Mayıs 2023
Bulut tabanlı elektronik sağlık kayıtları satıcısı NextGen Healthcare, 1 milyondan fazla kişiye, çalınan kimlik bilgilerini içeren bir veri güvenliği ihlali bildiriminde bulunuyor. Veri ihlali, şirketin Ocak ayından bu yana araştırdığı en azından iddia edilen ikinci veri güvenliği olayı.
Ayrıca bakınız: Canlı Web Semineri | Biometrics’i Hacklemek: Parmak İzlerinizin Güvende Olduğunu Düşünüyorsanız Tekrar Düşünün!
NextGen, 5 Mayıs’ta Maine başsavcılığına sunduğu bir ihlal raporunda, en son olayını “diğer kaynaklardan çalınmış gibi görünen çalınan müşteri kimlik bilgilerinin kullanımından veya NextGen ile ilgisi olmayan olaylardan kaynaklanan veritabanına yetkisiz erişim” olarak tanımladı.
NextGen’in geçen hafta düzenleyicilere sunduğu ihlal raporu, şirketin Ocak ayında hizmet olarak fidye yazılımı çetesi BlackCat’in (Alphv olarak da bilinir) şirketi veri sızıntısı sitesinde kısaca listelediği sırada araştırdığı ayrı bir olayı takip ediyor (bkz. : BlackCat’in Yakın Zamandaki Fidye Yazılımı Kurbanları Olduğu İddia Edilen 2 Satıcı).
O sırada NextGen, Information Security Media Group’a yaptığı açıklamada, yakın tarihli bir veri güvenliği olayını araştırdığını doğruladı, ancak BlackCat’in iddia edilen katılımı hakkında özel olarak yorum yapmadı.
Bir NextGen sözcüsü o sırada ISMG’ye “NextGen Healthcare bu iddianın farkında ve araştırmak ve düzeltmek için önde gelen siber güvenlik uzmanlarıyla çalışıyoruz” dedi.
Sözcü ISMG’ye “Tehdidi derhal kontrol altına aldık, ağımızın güvenliğini sağladık ve normal operasyonlara geri döndük. Adli incelememiz devam ediyor ve bugüne kadar müşteri veya hasta verilerine erişim veya bunların çalındığına dair herhangi bir kanıt ortaya çıkarmadık” dedi. Ocak.
NextGen Pazartesi günü ISMG’ye yaptığı açıklamada, iki saldırının ayrı olaylar olduğunu söyledi. Şirket, ISMG’nin Ocak ayı olayı ve şirketin buna bağlı bir ihlali bildirmeyi planlayıp planlamadığına ilişkin güncelleme talebine hemen yanıt vermedi.
Son İhlal Ayrıntıları
NextGen, ISMG’ye yaptığı açıklamaya göre, 30 Mart’ta NextGen Office sistemindeki şüpheli etkinlik konusunda uyarıldığını söyledi. Şirket, şu ana kadar yaptığı soruşturmaya dayanarak, bilinmeyen bir üçüncü tarafın 29 Mart ile 14 Nisan arasında sınırlı sayıda depolanmış kişisel bilgiye yetkisiz erişim elde ettiğini söyledi.
Şirket, örnek bir ihlal bildirim mektubunda, etkilenen bilgilerin kişilerin adlarını, doğum tarihlerini, adreslerini ve Sosyal Güvenlik numaralarını içerdiğini söyledi. NextGen, sağlık kayıtlarının veya tıbbi verilerin ihlal edildiğine veya uzlaşmadan etkilenen herhangi bir bilginin dolandırıcılık için kullanıldığına dair kanıt bulunmadığını da sözlerine ekledi.
ISMG’ye konuşan NextGen, “Bu olaydan etkilendiği bilinen kişilere 28 Nisan’da bilgi verildi ve onlara 24 aylık ücretsiz dolandırıcılık tespiti ve kimlik hırsızlığı koruması teklif ettik.”
Şirket ayrıca, olayı keşfettikten sonra şifreleri sıfırlama ve sistemlerinin güvenliğini “daha fazla güçlendirme” dahil olmak üzere önlemler aldığını söyledi. NextGen ayrıca soruşturmada kolluk kuvvetleriyle birlikte çalışıyor.
Rahatsız Eğilimler
2023 yılında Sağlık ve İnsani Hizmetler Bakanlığı’nın HIPAA İhlal Raporlama Aracı web sitesinde şimdiye kadar yayınlanan toplam 17,4 milyon kişiyi etkileyen 198 büyük sağlık verisi ihlalinden, 9,8 milyon kişiyi etkileyen en az 75 olayın iş ortaklarını içerdiği bildirildi.
Bu, satıcıların ve diğer iş ortaklarının 2023’te şimdiye kadar bildirilen büyük sağlık verisi ihlallerinin yaklaşık %38’ine karıştığı, ancak sağlık hizmetlerindeki ihlallerden etkilenen bireylerin %56’sından bu olayların sorumlu olduğu anlamına geliyor.
Pazartesi günü itibariyle, son NextGen veri ihlali HHS Sivil Haklar Ofisi çetelesine henüz gönderilmedi.
Güvenlik şirketi Critical Insight’ın CEO’su ve kurucu ortağı Mike Hamilton, yakın tarihli NextGen veri ihlalinin – daha önce iddia edilen BlackCat olayına ek olarak – sağlık sektörü trendlerini takip ediyor gibi göründüğünü söyledi.
“HIPAA kapsamındaki birçok kuruluş için bir EHR sağlayıcısı olarak NextGen, ister satış için ister haraç amacıyla askıya almak için para kazanılabilir bir kayıt hazinesi sunuyor” dedi. Bu, sağlık sektöründeki önemli yazılım ve BT hizmetleri sağlayıcılarını siber suçlular için son derece arzu edilen hedefler haline getiriyor.
Bu tür kritik üçüncü taraf ürün ve hizmetlerin sağlık sektörü müşterileri için NextGen veri ihlali, fidye yazılımı ve benzeri olaylar da dahil olmak üzere olaylara yönelik planlamanın ve bunlara yanıt vermenin önemini de vurguluyor.
“Bundan çıkarılabilecek ders, üçüncü taraf risk yönetimine eğilmek ve bir satıcı tarafından basit bir tasdik yerine denetlenmiş güvenlik kontrollerine ilişkin yeterli kanıt olduğundan emin olmaktır.”
Gizlilik ve güvenlik danışmanlığı Clearwater’da güvenlik hizmetleri başkan yardımcısı olan Dave Bailey de benzer bir bakış açısı sunuyor.
“Sağlık kuruluşları, üçüncü taraf risk yönetimi programlarını, hasta güvenliği riskine dayalı olarak satıcıları değerlendirmek için katmanlı bir yaklaşım oluşturacak şekilde tasarlamalıdır” dedi. “Üst düzey ve yüksek riskli satıcılar, hasta bilgilerini korumak ve kuruluşun başarısını ve güvenli ve kaliteli sonuçları mümkün kılmak için etkin kontrollere sahip olduklarını göstermelidir.”
Bailey, NextGen’in en son olayının kimlik bilgilerinin çalınmasını içerdiğini söylemesine gelince, bunun aynı zamanda birçok kuruluşun karşılaştığı ortak bir güvenlik riski olduğunu söyledi.
“Bugünün düşmanları, saldırılarını başlatmak ve gerçekleştirmek için çalınan kimlik bilgilerini arıyor ve kullanıyor” dedi. “Kullanıcılarımızı ve iş gücümüzü kimliklerini korumanın önemi konusunda eğitmeye ve bilinçlendirmeye devam etmeliyiz.”