Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Gizlilik
Soruşturma Devam Ederken Tüm Hastalara, Çalışanlara Kredi Takibi Sunuldu
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Haziran 2024
Missouri merkezli sağlık sistemi, fidye yazılımı saldırganlarının, bir çalışanın yanlışlıkla kötü amaçlı yazılım içeren bir dosyayı indirmesi üzerine kuruluşun ağına erişim sağladıktan sonra Ascension’ın 25.000 sunucusundan yedisinden dosyaları çaldığını söyledi.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Ascension, çarşamba günü olayla ilgili yaptığı güncellemede, soruşturmanın halen devam etmesine rağmen, 8 Mayıs’taki saldırıda çalınan bazı dosyaların potansiyel olarak hasta ve çalışan tarafından korunan sağlık bilgileri ve kişisel kimlik bilgilerini içerdiğini söyledi.
Ascension, “Belirli veriler kişiden kişiye farklılık gösterebilir” dedi. Ascension, “Şu anda hangi verilerin potansiyel olarak etkilendiğini ve hangi hastalar için olduğunu tam olarak bilmiyoruz. Bu sonuçlara ulaşmak için, etkilenmiş olabilecek dosyaların tam bir incelemesini yapmamız ve bunları dikkatli bir şekilde analiz etmemiz gerekiyor.” dedi. .
“Bu süreci başlatırken, zaman alacak önemli bir girişim. Bu arada, talep eden tüm Ascension hastalarına veya çalışanlarımıza ücretsiz kredi izleme ve kimlik hırsızlığı koruma hizmetleri sunuyoruz. Kuruluş, gelecekte onların verilerinin gerçekten bu olaya dahil olup olmadığını belirleyip belirleyemeyeceğimizi” söyledi.
Ascension, şu anda herhangi bir hastanın veya çalışanın bu olay sonucunda dolandırıcılık riski altında olduğuna dair hiçbir kanıt bulunmadığını ekledi. Ascension soruşturmasına yakın kaynaklar, saldırının arkasında Rusça konuşan fidye yazılımı grubu Black Basta’nın olduğunu söyledi ancak Ascension bu konuda kamuya açık bir yorumda bulunmadı.
Ascension’ın saldırıyı kamuoyuna açıklamasından yaklaşık bir hafta sonra, ABD’deki birkaç federal yetkili (FBI, Siber Güvenlik Altyapısı ve Güvenlik Ajansı ve Sağlık ve İnsani Hizmetler Bakanlığı dahil) bilgisayar korsanlarının Black Basta fidye yazılımını şifrelemek ve çalmak için kullandığına dair uyarı yayınladı. Sağlık hizmetleri de dahil olmak üzere 16 kritik altyapı sektörünün en az 12’sinden veriler.
Uyarılarda, geçen ay itibarıyla Black Basta üyelerinin dünya çapında birçok sektörde 500’den fazla kuruluşu etkilediği belirtiliyor (bkz: Federaller ve Gruplar Sağlık Sektörünü Siyah Basta Tehditleri Konusunda Uyardı).
Ascension, olayı keşfettikten hemen sonra 140 hastanesini ve diğer sağlık tesislerini işlettiği 19 eyaletin çoğunda elektronik sağlık kayıtlarını, eczaneyi ve diğer klinik BT sistemlerini kapattı (bkz.: Ascension’ın Siber Saldırı Kesintisinin Etkisi Bölgeye Göre Değişiyor).
Ascension, etkilenen eyaletlerin çoğunda EHR erişiminin yeniden sağlandığını ve geri kalan bölgelerin Cuma gününe kadar tekrar çevrimiçi olmasının beklendiğini söyledi.
Ascension Çarşamba günü yaptığı açıklamada, verilerin EHR’den veya “tam hasta kayıtlarının” saklandığı diğer klinik sistemlerden alındığına dair hiçbir kanıt bulunmadığını söyledi.
Ascension, “Saldırganın sistemlerimize nasıl erişim sağladığını da belirledik. Tesislerimizden birinde çalışan bir kişi, yanlışlıkla yasal olduğunu düşündüğü kötü amaçlı bir dosyayı indirdi.” dedi. “Bunun dürüst bir hatadan başka bir şey olduğuna inanmamız için hiçbir nedenimiz yok.”
Ascension, “Bu noktada, saldırganların ortaklarımız tarafından öncelikle günlük ve rutin görevler için kullanılan az sayıda dosya sunucusundan dosya alabildiğini gösteren kanıtlarımız var” dedi. “Bu sunucular ağımızdaki yaklaşık 25.000 sunucunun yedisini temsil ediyor.”
Nuvance Health’in CISO yardımcısı Bryan Chnowski, 25.000 sunucudan yedisinin Ascension’ın BT ortamının küçük bir kısmı gibi görünmesine rağmen, etkinin bu bir avuç etkilenen sunucuda depolanan hasta, çalışan ve diğer hassas verilerin hacmine ve türüne bağlı olduğunu söyledi: New York’un Hudson Vadisi ve Western Connecticut’ta yedi hastane, düzinelerce tıbbi uygulama ve bakım merkezi işletiyor.
“Bu sunucularda ne olabileceğini kim bilebilir?” dedi.
Ayrıca Ascension’ın, bir hasta veya çalışanın etkilendiği bilinse de bilinmese de “temel olarak herkese kredi izleme olanağı sunması”nın, şirketin potansiyel ihlalin kapsamının geniş olduğundan şüphelendiğine işaret edebileceğini söyledi.
Ascension, Bilgi Güvenliği Medya Grubu’nun, etkilenen sunucu türleri ve bunlarda bulunan veriler de dahil olmak üzere olayla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.