Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Olay, Fidye Yazılımı Şifrelemesi İçeriyor ve Tanıdık, İlgili Trendleri Takip Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
1 Aralık 2023
Seattle merkezli büyük bir cerrahi grubu, yaklaşık 437.400 kişiye, bu yılın başlarında bir fidye yazılımı ve veri hırsızlığı olayında bilgilerinin potansiyel olarak tehlikeye girdiğini bildiriyor. İhlal, 2023’te sağlık sektöründeki daha büyük ve rahatsız edici eğilimin bir parçası.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Washington eyaletinde yaklaşık 100 lokasyonu bulunan ve yılda 800.000’den fazla hastayı tedavi eden Proliance Surgeons, bir ağ sunucusunun dahil olduğu bilgisayar korsanlığı olayını 20 Kasım’da ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bildirdi.
Uzman tıp grubu, ihlal bildiriminde, ağındaki siber saldırının bazı BT sistemleri ve dosyaların şifrelenmesini içerdiğini, ayrıca yetkisiz erişimin “sınırlı sayıda” dosyanın kaldırılmasıyla sonuçlandığını söyledi.
Proliance, derhal bir soruşturma başlattığını, kolluk kuvvetleriyle temasa geçtiğini ve bireyleri bilgilendirmeye başladığını söyledi. Ancak üçüncü taraf siber güvenlik uzmanları tarafından yapılan kapsamlı bir adli tıp soruşturması sırasında uygulama, 24 Mayıs’ta potansiyel olarak kişisel bilgiler içeren ek dosyalara da saldırganların 11 Şubat civarında erişmiş olabileceğini keşfetti.
Proliance, olayda erişilen veya elde edilen tüm verilerin ayrıntılı incelemesinin etkilenen belirli kişileri ve potansiyel olarak tehlikeye atılan bilgileri tespit ettiğini söyledi.
Bu veriler; bireysel isimleri, doğum tarihlerini, Sosyal Güvenlik numaralarını, tıbbi tedavi bilgilerini, sağlık sigortası bilgilerini, telefon numaralarını, e-posta adreslerini, mali hesap numaralarını, ehliyet numaralarını veya diğer kimlik bilgilerini, kullanıcı adlarını ve şifreleri içerir.
Proliance, ek önlemlerin uygulanması da dahil olmak üzere mevcut siber güvenlik protokollerini geliştirmek için adımlar attığını söyledi.
Dava Açıldı
Uygulama halihazırda bu hafta Seattle federal mahkemesinde açılan en az bir toplu dava teklifiyle karşı karşıya.
Davacı Alicia Berend tarafından kendisi ve benzer durumdaki diğerleri adına sunulan şikayette, diğer iddiaların yanı sıra Proliance’ın hassas sağlık verilerini ve kişisel verileri kendi iç politikaları, eyalet hukuku ve federal yasa uyarınca korumadığı iddia ediliyor.
Dava ayrıca Proliance’ın, Kasım 2019 ile Haziran 2020 arasında birkaç ay boyunca çevrimiçi ödeme sistemine yetkisiz erişimi içeren daha önceki bir veri ihlaline maruz kaldığını iddia ediyor. Proliance’ın önceki olayda yayınladığı bir ihlal bildiriminde, uzlaşmanın korunan sağlık bilgilerini içermediği belirtildi.
Daha önceki Proliance olayı, Sağlık ve İnsani Hizmetler Bakanlığı’nın 500 veya daha fazla kişiyi etkileyen sağlık verileri ihlallerini listeleyen HIPAA İhlal Raporlama Aracı web sitesinde yayınlanmamış gibi görünüyor.
Berend’in, Proliance’ın güvenlik uygulamalarını iyileştirmesi için parasal tazminat ve ihtiyati tedbir kararı talep eden davası, Proliance’ın en son bilgisayar korsanlığı olayının “sanığın ihmalkâr veri güvenliği modelinin basit bir parçası” olduğunu iddia ediyor.
Proliance, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Rahatsız Edici Trendler
Proliance’ın PHI’yi tehlikeye atan son hack’i sağlık sektöründeki rahatsız edici bir eğilimi takip ediyor. 2023’e yalnızca bir ay kala, HHS OCR ihlal raporlama web sitesi, Cuma günü itibarıyla yıl içinde bildirilen büyük sağlık verisi ihlallerinin %80’inde (veya 621 büyük sağlık verisi ihlalinin 487’sinde) bilgisayar korsanlığı olaylarının yer aldığını bildirdi.
Daha da endişe verici olanı, 2023’te şu ana kadar HHS OCR web sitesinde yayınlanan tüm büyük sağlık veri ihlallerinden etkilenen 114,4 milyon kişinin çok büyük bir kısmının %92’sinden, yani yaklaşık 106 milyonundan bilgisayar korsanlığı olayları sorumluydu.
Bu saldırılar, Proliance ihlalinde olduğu gibi şifrelemeyi veya veri sızmasını veya her ikisini birden içeren fidye yazılımı saldırıları gibi bir dizi olayı içerir; Progress Software’in MOVEit ve Fortra’nın GoAnywhere dosya aktarım uygulamaları gibi üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanma; Kimlik avı ve diğer ilgili uzlaşmalar.
Güvenlik firması Dasera’nın kurucu ortağı ve CEO’su Ani Chaudhuri, “Bu eğilim, siber saldırganların artan karmaşıklığını ve gelişen dijital tehdit manzarasını yansıtıyor” dedi.
ISMG’ye “Sağlık sektörü, işlediği verilerin hassas doğası nedeniyle bu tür saldırıların her zaman ana hedefi olmuştur” dedi. Hem veri şifrelemeyi hem de sızmayı içeren Proliance olayı “bu saldırıların karmaşıklığının ve ciddiyetinin klasik bir örneğidir.”
Fidye yazılımı saldırılarının ve üçüncü taraf yazılımlardaki güvenlik açıklarının neden olduğu büyük PHI ihlallerinin 2024 yılına kadar devam edeceğini tahmin etti.
“Sağlık sektörünün dijital çözümlere ve birbirine bağlı sistemlere bağımlılığı, sektörü bu tür saldırılara karşı savunmasız hale getiriyor. Progress Software’in MOVEit çözümündeki sıfır gün güvenlik açığının kitlesel olarak istismar edilmesi ve çok sayıda sağlık kuruluşunun etkilenmesi, bu riskin altını çiziyor.”
Chaudhuri, bu eğilimlerin bir sonraki kurbanı olmaktan kaçınmaya yardımcı olmak için sağlık kuruluşlarına güçlü, çok katmanlı bir güvenlik stratejisi benimsemelerini ve uygulamalarını şiddetle tavsiye ediyor.
Bu, düzenli güvenlik açığı değerlendirmelerini, çalışanların eğitimini, güçlü veri şifrelemeyi, yazılımın yamalanmasını ve güncellenmesini, düzenli yedeklemeleri ve iyi prova edilmiş bir olay müdahale planına sahip olmayı içerir.
“Sağlık sektörünün, özellikle bilgisayar korsanlığı olaylarından kaynaklanan veri ihlalleriyle ilgili sorunları ciddi ancak aşılamaz değil” dedi.