Change Healthcare, Hack’ten Etkilenen Müşterileri Bilgilendirmeye Başlıyor


İhlal Bildirimi, HIPAA/HITECH, Güvenlik Operasyonları

Şirket, İhlalden Etkilenen Bireyleri Temmuz Sonunda Bildirime Başlayacak

Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Haziran 2024

Change Healthcare, Hack'ten Etkilenen Müşterileri Bilgilendirmeye Başlıyor
UnitedHealth Group’un Optum birimi Change Healthcare, şirketin Şubat ayındaki fidye yazılımı saldırısında verileri ele geçirilen müşterilere bildirimde bulunmaya başladı. (Resim: Sağlık Hizmetlerini Değiştirin)

Change Healthcare, çok sayıda sağlık hizmeti sağlayıcısını, sağlık sigortası planını ve diğer kuruluşları etkileyen Şubat ayındaki fidye yazılımı saldırısında verileri ele geçirilen müşterilere bildirimde bulunmaya başladığını söyledi.

Ayrıca bakınız: Bulut Analitiği ve Veri Maskeleme: Genel Bulutta Makine Öğreniminden En İyi Şekilde Yararlanmak

Şirketin etkilenen bireyleri Temmuz ayı sonlarında bilgilendirmeye başlayacağı belirtildi. Etkilenen müşterilere yönelik bildirimler Perşembe günü yapılmaya başlandı.

ABD sağlık sistemi ödemelerinin yaklaşık %6’sını yöneten tıbbi faturalandırma aracısına Şubat ayında düzenlenen bir fidye yazılımı saldırısı, ABD sağlık hizmeti sağlayıcıları için büyük aksaklıklara neden oldu. UnitedHealth Group’un bir yan kuruluşu olan şirket, yaklaşık 6 terabayt veriyi çaldıktan sonra Rusça konuşan fidye yazılımı grubu Alphv, yani BlackCat’e 22 milyon dolar fidye ödedi (bkz: UnitedHealth Grubu Büyük Değişimin Önizlemesini Yapıyor Sağlık Hizmetleri İhlalini Önizliyor).

Change Healthcare, olaya dahil olan her birey için hangi verilerin etkilendiğini tam olarak doğrulayamadığını ancak bilgisayar korsanları tarafından ele geçirilen bilgilerin arasında şunlar yer alıyor:

  • İletişim bilgileri – ad ve soyadı, adres, doğum tarihi, telefon numarası ve e-posta adresi gibi;
  • Sağlık sigortası bilgileri – birincil, ikincil veya diğer sağlık planları/poliçeleri, sigorta şirketleri, üye/grup kimlik numaraları ve Medicaid-Medicare-devlet ödeyen kimlik numaraları gibi;
  • Sağlık bilgileri – tıbbi kayıt numaraları, sağlayıcılar, teşhisler, ilaçlar, test sonuçları, görüntüler, bakım ve tedavi gibi;
  • Faturalandırma, talepler ve ödeme bilgileri – talep numaraları, hesap numaraları, fatura kodları, ödeme kartları, mali ve banka bilgileri, yapılan ödemeler ve vadesi gelen bakiye gibi;
  • Sosyal Güvenlik numaraları, sürücü belgesi veya eyalet kimlik numaraları ve pasaport numaraları dahil diğer kişisel bilgiler.

Şirket, bireylerin “dikkatli olmaları ve sağlık planlarından aldıkları fayda beyanlarının açıklamalarını ve sağlık hizmeti sağlayıcılarından gelen beyanların yanı sıra banka ve kredi kartı ekstrelerini, kredi raporlarını ve vergi beyannamelerini düzenli olarak izlemeleri ve herhangi bir sorun olup olmadığını kontrol etmeleri gerektiğini” söyledi. alışılmadık bir aktivite.”

Fidye yazılımı korsanları, çok faktörlü kimlik doğrulamayla korunmayan bir şirketin Citrix uzaktan erişim hizmetine erişmek için çalıntı kimlik bilgilerini kullanarak şirket verilerine erişim elde etti.

United HealthGroup, bilgilendirilen müşteri sayısı ve etkilenen tahmini kişi sayısı hakkındaki soruya hemen yanıt vermedi.

Şirket CEO’su Andrew Witty geçen ay iki kongre komitesi önünde ifade verdi ve ABD nüfusunun üçte birinin olaydan etkilenebileceğini söyledi (bkz: Milletvekilleri Grill UnitedHealth CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).

UnitedHealth Group, Information Security Media Group’a yaptığı açıklamada, Change Healthcare’in etkilenen dosyaların %90’ından fazlasını incelemeyi tamamladığını ve doktor çizelgeleri veya tam tıbbi geçmişleri gibi materyallerin sistemlerinden sızdırıldığına dair hiçbir kanıt görmemeye devam ettiğini söyledi.

‘Yuvarlanıyor’ Bildirimi

BakerHostetler hukuk firmasının düzenleyici avukatı Sara Goldstein, ISMG’ye, firmanın temsil ettiği 100’den fazla müşteriden yalnızca yaklaşık %15’inin veri incelemesi hakkında Change Healthcare’den bir güncelleme aldığını söyledi. “Güncellemelerin sürekli olarak sağlanacağını tahmin ediyorum” dedi.

“Bazı müşterilere, bugüne kadar devam eden veri incelemesine dayanarak CHC’nin PHI’larından herhangi birini bulamadığı söylendi. Veri incelemesi hala devam ettiği için bu onların ‘çıkıştan çıktıkları’ anlamına gelmiyor.” dedi.

Diğer müşterilere, korunan sağlık bilgilerinin etkilendiği söylendi ve Change Healthcare’den gelen güncellemenin, bireylere HIPAA bildirimi için 60 günlük süreyi başlatan bir ihlal bildirimi teşkil ettiğini söyledi.

PHI’ya dahil olan müşteriler için Change Healthcare, müşteri 8 Temmuz’a kadar vazgeçmediği sürece onlar adına bildirim sağlayacağını söyledi.





Source link