İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
İhlal Raporu Gerçek Sayının 100 Milyon Olabileceğini Söylerken Sadece 500 Kişinin Etkilendiğini Söylüyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
1 Ağustos 2024
Nisan ayında, UnitedHealth Group CEO’su Andrew Witty iki kongre komitesi önünde, şirketin BT hizmetleri birimi Change Healthcare’e yönelik Şubat ayındaki fidye yazılımı saldırısının muhtemelen ABD nüfusunun üçte birinin hassas bilgilerini etkilediğini ifade etti. Bu, yaklaşık 100 milyon kişi, birkaç milyon eksik veya fazla.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
Ancak ABD Sağlık ve Sosyal Hizmetler Bakanlığı, Salı günü kamuya açık HIPAA İhlal Bildirim Aracı web sitesinde Change Healthcare’in 19 Temmuz’da federal düzenleyicilere sunduğu raporu yayınladığında, şirket olayın … davullar çalınsın lütfen: 500 kişiyi etkilediğini söyledi.
Evet, doğru okudunuz. Change Healthcare son beş ayı ihlali araştırmakla geçirdi ve şimdiye kadar sadece 500 kurban bildirdi. Şirket ironik bir açıklamada milyonlarca kişiye bildirimde bulunulacağını kabul etti ve “gerekirse” HHS dosyasını güncelleme sözü verdi.
Elbette, Change Healthcare’in HHS Sivil Haklar Ofisi’ne bildirdiği 500 haneli rakam geçici bir tahmin; şirket ve ana şirketi UnitedHealth Group, 100’den fazla BT hizmetini haftalarca kapatan ve binlerce sağlık hizmeti kuruluşunu sekteye uğratan 21 Şubat’taki büyük saldırıda etkilenen verileri analiz etmeye devam ediyor.
Kuruluşlar bazen HHS OCR’ye, çok daha fazlasını etkileyen olaylardan etkilenen kişi sayısının ilk tahminini 500 veya 501 olarak bildirirler; böylece HIPAA ihlal bildirimi kuralının, 500 veya daha fazla kişiyi etkileyen korunan sağlık bilgisi ihlallerini tespitten itibaren 60 gün içinde veya daha kısa sürede kuruma bildirme gerekliliğine uyulmuş olur.
Geçtiğimiz hafta, hastane zinciri Ascension, HHS OCR’ye Mayıs ayındaki fidye yazılımı saldırısının 19 eyalette BT hizmetlerini aksattığını ve 500 kişiyi de etkilediğini bildirdi. Bu, Ascension’ın son veri analizi tamamlanana kadar geçici bir tahmindir (bkz: Yükseliş Dosyaları Mayıs Saldırısı İçin Yer Tutucu İhlal Raporu).
Bazı hukuk uzmanları, özellikle yüksek profilli fidye yazılımı saldırısının koşulları göz önüne alındığında, Change Healthcare’in HHS OCR’ye sunduğu ihlal raporunda verdiği aşırı düşük tahmin karşısında şaşkınlığa uğradı.
“Bu alışılmadık bir durum,” dedi BakerHostetler hukuk firmasından düzenleyici avukat Sara Goldstein. “Genellikle, kapsam dahilindeki kuruluşlar veya iş ortakları keşiften itibaren 60 gün içinde bildirimde bulunsalar da bildirim gerektiren toplam kişi sayısını belirlemediklerinde ‘500 veya 501 kişi yer tutucusu’ kullanılır,” dedi.
Rusça konuşan fidye yazılımı siber suçlu grubu BlackCat, diğer adıyla Alphv, saldırının sorumluluğunu üstlendi. Witty, Kongre’ye şirketin karanlık web’de 4 terabayt hasta verisini çaldığını iddia eden saldırganlara 22 milyon dolar fidye ödediğini itiraf etti (bkz: İkinci Bir Çete UnitedHealth Group’u Fidye İçin Sarsıyor).
Goldstein, “UHG, olayın ‘Amerika’daki insanların önemli bir kısmına ait bilgileri içerdiğini’ kamuoyuna açıkladı. Bu ifadelere dayanarak, HHS OCR’ye yapılan ilk bildirimde çok daha büyük bir sayının yer alması beklenirdi” dedi.
Change Healthcare, pazartesi günü Information Security Media Group’a yaptığı açıklamada – firmanın web sitesinde etkilenen kişilere ihlal bildirimleri göndermeye başladığını belirten bir duyuru yayınladığı gün – şirketin incelemenin tamamlanmasının ardından “gerekirse” HHS OCR’ye düzeltilmiş bir ihlal raporu sunacağını söyledi (bkz: Change Healthcare, Saldırıdan Etkilenen Milyonları Bildirmeye Başladı).
“Veri incelemesi son aşamalarında, ancak bildirim yapmaya başlamak için yeterli veriyi analiz ettik,” diyor açıklamada. “Bu, önemli oranda Amerikalının etkilendiğine dair önceki bilgilerle ve CEO’muzun Mayıs ayında belirttiği gibi uyumludur. İnceleme ve postalamanın tamamlanmasının ardından gerekirse OCR raporunu düzelteceğiz.”
HHS OCR, Salı günü kurumun internet sitesinde güncellenen rehberde, HHS ihlal bildirim portalında yayınlanan Change Healthcare raporunun, şirketin bu ihlalden etkilenen toplam kişi sayısını düzeltmesi “durumunda” düzeltileceğini söyledi.
HHS OCR, “HHS İhlal Portalı’nda dosyalanan HIPAA ihlal raporları, ihlal raporu formunun dosyalayan kişiye ilk ihlal raporunu veya önceki bir rapora ek dosya sunmasına olanak tanıması nedeniyle değiştirilebilir” dedi.
Goldstein, HHS OCR’nin Change Healthcare’in raporunu daha doğru bir rakamla değiştireceğini “varsaymak” istemediğini ancak şirketin bunu yapması halinde HHS OCR’nin kamu portalını yeni rakamları yansıtacak şekilde güncellemesini beklediğini söyledi.
Goldstein, “Portal muhtemelen düzeltilen Change Healthcare numarasıyla güncellenecektir ancak bu numara, raporları kronolojik sırayla tutan listenin en üstünde görünmeyebilir” dedi.
Bu durum, şüphesiz göz kamaştırıcı olacak olan güncellenmiş Change Healthcare ihlal rakamının HHS OCR kamu portalında kaybolmasını kolaylaştırabilir.
Change Healthcare, pazartesi günü yaptığı açıklamada, veri ihlali analizlerinin yaklaşık %90’ının tamamlandığını ve şirketin bu hafta etkilenen kişilere “sürekli olarak” ihlal bildirimleri göndermeye başladığını söyledi.
Umuyoruz ki Change Healthcare ve UnitedHealth Group da ihlalleri ve soruşturma bulguları hakkında çok daha önemli ayrıntıları açıklamaya devam ederler.
Başlangıçtaki düşük tahmine rağmen, veri ihlalinin ve bunun Amerikan halkı üzerindeki geniş kapsamlı etkisinin kamuya açıklanmasında şeffaf olmalarını talep ediyorum.
Kanun koyucuların da bizi izlediğini biliyoruz (bkz: Kanun koyucular UnitedHealth CEO’sunu Sağlık Hizmetlerindeki Değişim Saldırısı Konusunda Sorguya Çekti).
ABD sağlık sektörünün ve hastalarının, yaşanan tarihi mega ihlalden ders çıkarması ve neler yaşandığını bilmesi gerekiyor.