İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
Chicago Pediatri Merkezi Rhysida Siber Suç Grubuna Fidye Ödemeyi Reddetti
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
3 Temmuz 2024
Chicago’daki bir çocuk hastanesi, bu yılın başlarında gerçekleşen bir fidye yazılımı saldırısında hassas bilgilerinin tehlikeye atıldığına dair yaklaşık 800.000 kişiyi bilgilendiriyor. Hizmet olarak fidye yazılımı grubu Rhysida, Ocak ayındaki yıkıcı saldırıda çalınan veriler için 3,4 milyon dolarlık fidye talep etmişti. Hastane ödeme yapmadığını söyledi.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Chicago Ann & Robert H. Lurie Çocuk Hastanesi, internet sitesinde yayınladığı bir ihlal bildiriminde, fidye yazılımı olayıyla ilgili soruşturma sonucunda, belirli BT sistemlerinde saklanan bilgilere siber suçlular tarafından erişildiğini ve bu bilgilerin kopyalandığını tespit ettiğini bildirdi (bkz: Rhysida Çocuk Hastanesi Verilerini 3,4 Milyon Dolara Satmayı Teklif Ediyor).
Hastane duyurusunda, Lurie Children’s Epic elektronik sağlık kaydında bulunan verilere saldırıda erişilmediği belirtildi. Potansiyel olarak etkilenen kişiler arasında hastalar, aile üyeleri, Lurie Children’s çalışanları ve diğerleri yer alıyor.
Tehlikeye atılan bilgiler kişiden kişiye değişmekle birlikte isim, adres, doğum tarihi, hizmet tarihleri, ehliyet numarası, e-posta adresi, sağlık talep bilgileri, sağlık planı, sağlık planı yararlanıcı numarası, tıbbi durum veya teşhis, tıbbi kayıt numarası, tıbbi tedavi, reçete bilgileri, Sosyal Güvenlik numarası ve telefon numarasını içerir.
Lurie Çocuk Hastanesi, geçen hafta Maine başsavcısına sunduğu bir ihlal raporunda, olayın sekiz Maine sakini de dahil olmak üzere 791.784 kişiyi etkilediğini söyledi. Çarşamba günü itibarıyla Lurie Çocuk Hastanesi’nin bilgisayar korsanlığı olayı, 500 veya daha fazla kişiyi etkileyen büyük sağlık verisi ihlallerini listeleyen ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Bildirim Aracı web sitesine henüz gönderilmemişti.
“Lurie Children’s fidye ödemedi. Uzmanlar, siber suçlulara ödeme yapmanın, alınan verilerin silinmesini veya geri alınmasını garanti etmediğini söyledi,” dedi hastane ihlal bildiriminde. “Soruşturma ekibimiz siber suçlular tarafından etkilenen miktarda veriyi tespit ettiğinde, bu verileri geri almak için kolluk kuvvetleriyle yakın bir şekilde çalıştık.”
Lurie Children’s Hastanesi, Information Security Media Group’a yaptığı açıklamada, hastanenin bugüne kadar yaptığı incelemede “karanlık ağda veya kamusal alanda etkilenen verileri tespit etmediğini” söyledi.
Hastane, etkilenen bireylere 24 ay boyunca ücretsiz kimlik ve kredi izleme hizmeti sunuyor.
Hastane ISMG’ye yaptığı açıklamada, “Lurie Children’s yalnız değil; bugün birçok kuruluş, özellikle ülke çapındaki hastaneler ve sağlık sistemleri, sürekli gelişen siber güvenlik tehditleriyle karşı karşıya.” ifadelerini kullandı.
“Sistemlerimizin güvenliğini daha da artırmak için dahili ve harici uzmanlarımızla yakın bir şekilde çalışıyoruz. Lurie Children’s sistemimizin ve bize emanet edilen bilgilerin güvenliğini ciddiye alıyor. Bu nedenle siber güvenlik programımıza ve kontrollerimize yatırım yapmaya devam ediyoruz.”
Lurie Çocuk Hastanesi’nin telefonları ve EHR’lerine ve hasta portalına erişim de dahil olmak üzere BT sistemleri, hastane saldırıdan kurtulana kadar birkaç hafta boyunca kesintiye uğradı (bkz: Chicago Çocuk Hastanesi’nde Sistemler ve Telefonlar Hala Çevrimdışı).
Diğer Hususlar
Lurie Children’s’a karşı, ihmalkarlık ve diğer iddiaları ileri süren bir toplu dava önerisi, Illinois federal mahkemesinde açıldı.
Olaydan etkilenen küçük bir hastanın velisi tarafından, benzer durumda olan diğer kişiler adına açılan dava dilekçesinde, en az üç yıl kredi takibi, maddi zararlar ve Lurie Children’s şirketinin veri güvenliği programını güçlendirmesi için ihtiyati tedbir kararı talep ediliyor.
Saldırıyı üstlenen ve Lurie Çocuk Hastanesi’nden 3,4 milyon dolar tazminat talep eden Rhysida, geçtiğimiz Ağustos ayında Sağlık Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi tarafından sağlık sektörüne gönderilen bir uyarının konusu olmuştu (bkz: Yetkililer Rhysida Group Tarafından Gerçekleştirilecek Saldırılar Konusunda Sağlık Sektörünü Uyardı).
Siber suç grubu Mayıs 2023’te ortaya çıktı. Çarşamba günü itibarıyla, dark web izleme sitesi DarkFeed 101 Rhysida kurbanı saydı.
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Ulus devletler ve onlara bağlı suç örgütleri ve aktivistler, ABD sağlık sektörüne açıkça saldırarak, sektörü bozmak ve istikrarsızlaştırmak istiyorlar” dedi. “Lurie Children’s’a yönelik saldırı ve küçüklerin PII ve PHI’lerinin çalınması büyük ihtimalle yalnızca suçtan kazanç elde etmek amacıyla yapılmıştı ve bir devlet aktörü tarafından gerçekleştirilmemişti.”
Hamilton, Lurie Children’s gibi ihlale uğramış bir kuruluşun fidye ödemeyi reddetmesi durumunda, “bir toplu dava avukatının, gasp talebinin ödenmemesinin kayıtların kamuya açıklanacağını veya satışa çıkarılacağını garanti ettiğini iddia etmesi mümkün” dedi.
“Ancak korunan bilginin yetkisiz bir şekilde ifşa edilmesi durumunda, genellikle fidye ödenip ödenmeyeceğine, mağdur kuruluşun sigorta şirketi karar veriyor.
“Ayrıca, suçluların dürüst olmadığı ve fidye ödemenin bile kayıtların kamuya açıklanmayacağı veya karanlık web’de satılmayacağı konusunda bir güvence sağlamadığı iddia edilebilir. Ödeme yapmama argümanını toplu dava açma temeli olarak kullanmak başarılı olma ihtimali düşük,” dedi.
Bazı uzmanlar, çocuklara ilişkin bilgileri ve diğer hassas kayıtları işleyen sağlık kuruluşlarının, bu verileri korumada ekstra dikkatli davranmayı düşünmeleri gerektiğini söyledi.
Düzenleyici avukat Rachel Rose, “Küçüklerin bireysel olarak tanımlanabilir sağlık bilgilerini veya korunan sağlık bilgilerini korumak için gereken ek yasal önlemler bulunmamakla birlikte, psikoterapi notları veya madde kullanım bozukluğu tedavisi gibi bu bilgiler yalnızca daha yüksek bir hassasiyete sahip olmakla kalmıyor, aynı zamanda başka şekillerde de istismar edilebiliyor” dedi.
Küçüklerin “çevrimiçi taciz, zorbalık ve insan ticareti riski altında olduğunu” söyledi. Teknik, idari ve fiziksel güvenlik önlemlerinin yerinde olduğundan emin olmak için yıllık bir risk analizinin yapılmasının son derece önemli olduğunu belirtti.
Hamilton, bilgi gizliliği ve bütünlüğünün korunmasına uygulanan kontrollerin risk temelli olması gerektiğini söyledi. “Çocukların sağlık ve gizlilik bilgilerinin oldukça paraya çevrilebilir olduğu ve deneysel olarak rutin olarak çalındığını gördüğümüz göz önüne alındığında, mümkün olan en büyük koruma sağlanmalıdır,” dedi.
“Aşırı kontroller, örneğin ilk erişim yöntemi olarak kişisel e-postanın kullanımını kesmek için kullanıcıların internet erişiminin yasaklanmasını içerebilir.”
Bilgileri bilgisayar korsanlığı ve diğer veri güvenliği olaylarında tehlikeye atılan küçükler, kimlik hırsızlığı ve dolandırıcılığın yanı sıra diğer potansiyel kötüye kullanımlara karşı özellikle savunmasızdır ve bu durum uzun süreler boyunca devam edebilir.
“Birincisi, tüm bilgiler hemen kullanılmaz. Kişi reşit olduğunda yıllar sonra ortaya çıkabilir,” dedi Rose. “İkincisi, bir siber suçlu bireyleri ve sosyal medya sayfalarını takip ederse veya telefonlarına girerse, siber suçluların istismar edebileceği resimler de dahil olmak üzere başka veriler olabilir.
“Son olarak, kişinin yaşamı boyunca kredi izlemenin ve bir üçüncü tarafın kredi profiline ve puanlarına erişebildiğinde bireyin ‘açıp kapatmasını’ sağlayan hizmetlerden yararlanmanın önemini vurguluyor,” dedi.