İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
BT Hizmetleri Satıcısı Mağdurlara Sürekli Olarak Bireysel Mektuplar Gönderiyor
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
29 Temmuz 2024
Change Healthcare, Pazartesi günü beş aydan uzun bir süre önce ilk kez tespit edilen büyük siber saldırı ve veri hırsızlığının kurbanlarını bilgilendirme sürecini başlattığını bildiren bir ihlal bildirim mektubunu yakında milyonlarca Amerikalıya gönderecek.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
Şirket, pazartesi günü internet sitesinde siber olayla ilgili güncellenen sık sorulan sorular bölümünde, belirli kişilere ne zaman bildirim gönderileceğine dair bir tarih vermediğini, ancak e-posta gönderiminin 29 Temmuz’da başladığını söyledi.
Şirket, “Change Healthcare, söz konusu verilerin hacmi ve karmaşıklığı göz önüne alındığında, potansiyel olarak etkilenen bireyleri mümkün olan en kısa sürede bilgilendirmeye kararlıdır. Lütfen, etkilenen tüm bireyler için yeterli adresimiz olmayabileceğini unutmayın” dedi.
Pazartesi itibarıyla Change Healthcare, 500 veya daha fazla kişiyi etkileyen sağlık verisi ihlallerini listeleyen ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesinde, saldırı olayıyla ilgili ihlal raporlarını yayınlamamıştı (bkz: Yükseliş Dosyaları Mayıs Saldırısı İçin Yer Tutucu İhlal Raporu).
HHS Sivil Haklar Ofisi daha önce, raporların kurum tarafından incelendikten sonra kamuya açık web sitesinde yayınlandığını söylemişti. Bu süreç genellikle bir veya iki hafta sürüyor.
Change Healthcare sözcüsü Information Security Media Group’a “Veri incelemesi son aşamalarında, ancak bildirimde bulunmaya başlamak için yeterli miktarda veriyi analiz ettik” dedi. “Change Healthcare, söz konusu verilerin hacmi ve karmaşıklığı göz önüne alındığında, potansiyel olarak etkilenen bireyleri mümkün olan en kısa sürede bilgilendirmeye kararlıdır.”
“Change Healthcare, veri incelememizin sonuna kadar beklemek yerine, verilerinin etkilenmiş olabileceğinden endişe eden herkese ücretsiz kredi izleme ve kimlik hırsızlığı koruması sunmaya devam ediyor.”
HHS OCR, ISMG’nin Change Healthcare’in ihlal bildirimi hakkındaki yorum talebine derhal yanıt vermedi.
Change Healthcare, 20 Haziran’da, saldırı olayından etkilenen kuruluşlar ve bireyler için web sitesinde bir HIPAA ihlal bildirimi yayınladı ve Temmuz ayı sonlarında yazılı bildirimler göndermeyi beklediğini söyledi. Change Healthcare geçen ay, olayda verileri etkilenen müşterilerini bilgilendirmeye başladı (bkz: Change Healthcare, Saldırıdan Etkilenen Müşterileri Bilgilendirmeye Başlıyor).
Change Healthcare Pazartesi günü etkilenen müşterilerine, şirketin yedek HIPAA ihlal bildirimini en az 90 gün boyunca web sitelerinin ana sayfasında belirgin bir şekilde yayınlamalarını tavsiye etti. “Bu yedek bildirim, Change Healthcare’in etkilenen kişileri belirlemek için veri incelemesinin son aşamalarında olduğu şu anda sağlayabileceği bilgileri içerir.”
Tarihi İhlal
21 Şubat’ta Change Healthcare’e düzenlenen büyük siber saldırının üzerinden beş ay geçti. Saldırı sonucunda 100’den fazla BT hizmeti haftalarca kapalı kaldı ve binlerce doktor, eczane ve sağlık kliniğinin iş ve klinik süreçleri aksadı.
Rusça konuşan fidye yazılımı siber suçluları BlackCat, diğer adıyla AlphV, saldırının sorumluluğunu üstlendi ve şirket saldırganlara 22 milyon dolar fidye ödediğini kabul etti. BlackCat, karanlık web’de 4 terabayt hasta verisini çaldığını iddia etti (bkz: İkinci Bir Çete UnitedHealth Group’u Fidye İçin Sarsıyor).
Change Healthcare, olaydan etkilenen müşteriler için ihlal bildirimlerini üstlenmeyi teklif etti, bu nedenle olayla ilgili olarak HHS OCR’ye kaç kişinin ihlal bildiriminde bulunacağı belirsiz.
HHS OCR daha önce Change Healthcare olayı ve ihlal bildirimi ile ilgili güncellenmiş rehber yayınlamıştı (bkz: Federal Hükümet, Change Healthcare’in İhlal Bildirimini Ele Alabileceğini Söylüyor).
UHG CEO’su Andrew Witty, Mayıs ayında iki kongre komitesine verdiği ifadede, olayın Amerikan nüfusunun üçte birine kadarının -veya 100 milyondan fazla insanın- korunan sağlık bilgilerini etkilediğinin tahmin edildiğini söyledi (bkz: Kanun koyucular UnitedHealth CEO’sunu Sağlık Hizmetlerindeki Değişim Saldırısı Konusunda Sorguya Çekti).
HHS OCR, Mart ayında alışılmadık bir hamleyle Change Healthcare veri ihlalini ve Change Healthcare ile ana şirketi UnitedHealth Group’un HIPAA uyumluluğunu araştırdığını duyurdu (bkz: Federal Hükümet, Change Healthcare Saldırısına Yönelik Soruşturma Başlattı).
Tipik olarak, HHS OCR, bir HIPAA ihlali veya şikayeti dosyalanana kadar bir ihlal soruşturması başlatmaz. HHS OCR Direktörü Melanie Fontes Rainer, 18 Temmuz’da New York’ta düzenlenen bir ISMG Healthcare Cybersecurity Summit şömine sohbetinde katılımcılara, Change Healthcare siber saldırısının tarihi niteliğinin kurumun daha erken düzenleyici eylemini gerektirdiğini söyledi. Olayın, bugüne kadar ülkenin en büyük sağlık verisi ihlali bildirimi olayına yol açması bekleniyor.
Change Healthcare, internet sitesinde yaptığı açıklamada, şirketin veri analizinin devam ettiğini, ancak etkilenen bilgilerin isim, adres, doğum tarihi, telefon numarası ve e-posta gibi bilgileri ve birincil, ikincil veya diğer sağlık planları/politikaları, sigorta şirketleri, üye/grup kimlik numaraları ve Medicaid-Medicare-devlet ödeyici kimlik numaraları gibi sağlık sigortası bilgilerini içerebileceğini belirtti.
Ayrıca, tıbbi kayıt numaraları, sağlayıcılar, teşhisler, ilaçlar, test sonuçları, görüntüler, bakım ve tedavi, faturalama ve talep numaraları, hesap numaraları, fatura kodları, ödeme kartları, finansal ve bankacılık bilgileri, yapılan ödemeler ve ödenmesi gereken bakiye gibi talep ve ödeme bilgileri de etkilendi.
Sosyal Güvenlik numaraları, sürücü belgeleri veya eyalet kimlik numaraları veya pasaport numaraları gibi diğer kişisel bilgiler de potansiyel olarak etkilenebilir. Şirket, tüm bireylerin aynı çeşitlilikte tehlikeye atılan bilgilere sahip olmadığını söyledi.