İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
Veri Hırsızlığı Acil Tıbbi Hizmet Sağlayıcısına Yönelik Son Siber Saldırıdır
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
24 Temmuz 2024
Fidye yazılımı grubu Daixin, 10 milyon hastanın hassas tıbbi bilgilerini karanlık web’de sızdırmakla tehdit ediyor. Grup, acil tıbbi hizmetleri hedef alan bir dizi olayın sonuncusu olan Louisiana merkezli Acadian Ambulance’a düzenlenen bir saldırıda verileri çaldığını iddia ediyor.
Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek
1971’den beri faaliyet gösteren ve Louisiana, Mississippi, Tennessee ve Teksas’ın 70 ilçesinde 24 milyon kişiye hizmet veren Acadian Ambulance, Çarşamba günü Information Security Media Group’a yaptığı açıklamada, olayı Haziran ayı sonlarında keşfettiğini söyledi.
“Acadian’ın BT departmanı, ağımızda belirli bilgisayar sistemlerinin işleyişini bozan beklenmeyen bir etkinlik gözlemledi,” dedi Acadian. “Ekibimiz, etkinliği keşfettikten sonra, daha fazla yetkisiz etkinliği önlemek için sistemleri kilitlemek ve hasta bakımının kesintiye uğramasını önlemek için yedekleme ve yedeklilik sistemlerini etkinleştirmek için hızlı ve stratejik bir şekilde yanıt verdi.”
Şirket, bu adımların Acadian’ın hasta bakımına zarar vermeden faaliyetlerine devam etmesine yardımcı olduğunu ancak olayla ilgili soruşturmada tehdit gruplarının hastaların korunan sağlık bilgilerinin bulunduğu bir sunucuya eriştiğinin belirlendiğini belirtti.
Şirketten yapılan açıklamada, “Acadian, etkilenen kişileri tespit edip bilgilendirmek için hızlı ve titizlikle çalışıyor ve bu olaydan kaynaklanan diğer tüm düzenleyici ve bildirim gerekliliklerini yerine getirecek.” denildi.
Milyonlarca Hasta Potansiyel Olarak Etkileniyor
Çarşamba günü Daixin’in sızıntı sitesinde ortaya çıkan tablolara göre, çalınan Acadian verileri arasında hasta geçmişleri ve şüpheli uyuşturucu kullanımı içeren vakalar da dahil olmak üzere 11 milyondan fazla satır hasta kaydı içeren bir veritabanı ve 28.000’den fazla satır çalışan bilgisi yer alıyor.
Daixin bu hafta medya sitesi DataBreaches.net’e yaptığı açıklamada, söz konusu bilgilerin 11 milyon kişiyi ilgilendirdiğini ancak 10 milyonunun farklı bireylere ait göründüğünü söyledi.
Daixin ayrıca çetenin 7 milyon dolarlık fidye talep ettiğini ancak haftalarca süren pazarlıkların ardından Acadian’ın yalnızca 173.000 dolardan azını ödeyebileceğini iddia ettiğini söyledi. DataBreaches.net’e göre Salı günü itibariyle herhangi bir fidye ödenmemiş gibi görünüyor.
Acadian sözcüsü, ISMG’nin Daixin’in iddiaları ve olayla ilgili ek ayrıntılar hakkındaki yorum talebini reddetti.
Federal yetkililer, Ekim 2022’de Daixin Team hakkında ortak bir uyarı yayınladı. FBI, Siber Güvenlik ve Altyapı Güvenlik Ajansı ve ABD Sağlık ve İnsan Hizmetleri Bakanlığı tarafından yayınlanan uyarıya göre grup, ağırlıklı olarak sağlık ve kamu sağlığı sektöründeki ABD işletmelerini aktif olarak hedef alıyordu (bkz: Güvenlik Uyarısı: Daixin Fidye Yazılımı Sağlık Sektörünü Hedef Alıyor).
Dark web izleme firması DarkFeed.io, Çarşamba günü itibarıyla Daixin’in toplam 16 mağduru olduğunu söyledi.
Sağlık sektörünün açıkça mağdur olduğu bazı şirketler arasında TransForm Paylaşımlı Hizmet Örgütü ve bu örgütün paylaşımlı BT hizmetleri sağladığı Ontario bölge hastaneleri Bluewater Health, Chatham-Kent Health Alliance, Erie Shores HealthCare, Hôtel-Dieu Grace Healthcare ve Windsor Bölge Hastanesi yer alıyor.
Kuruluşlar geçen Ekim ayında saldırıya uğramış ve elektronik sağlık kayıtları da dahil olmak üzere birçok kritik BT sisteminin işlevselliğini geri kazanmak için haftalarca mücadele etmişlerdi (bkz: Ontario Hastaneleri Bir Ay Sürecek Fidye Yazılımı Kurtarma Sürecini Bekliyor).
Çekici Hedefler
Acadian’daki fidye yazılımı saldırısı ve veri hırsızlığı, son aylarda ambulans şirketleri ve diğer acil tıbbi müdahale sağlayıcılarına yönelik bir dizi saldırının sonuncusu.
Mayıs ayında, Illinois merkezli Superior Air-Ground Ambulance Service, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na 2023 yılında gerçekleşen bir bilgisayar korsanlığı olayının 858.000’den fazla kişiyi etkilediğini bildirdi (bkz: Hava-Kara Ambulans Şirketi 1 Yıl Önceki Saldırıyı 858.000 Kişiye Anlattı).
Yine Mayıs ayında, ABD ve Birleşik Krallık’ta mobil sağlık ve ulaşım hizmetleri sağlayan DocGo, ABD Menkul Kıymetler ve Borsa Komisyonu’na “yakın zamanda” bazı sistemlerini ilgilendiren bir siber güvenlik olayı tespit ettiğini bildirdi.
DocGo’nun SEC başvurusunda olayın keşfedildiği tarih belirtilmedi ancak şirketin tehdit aktörünün, şirketin ABD merkezli ambulans taşımacılığı iş kolundaki sınırlı sayıda sağlık kayıtlarından, belirli korunan sağlık bilgileri de dahil olmak üzere verilere eriştiğini ve bunları elde ettiğini belirlediği belirtildi.
Çarşamba itibarıyla DocGo’nun henüz eyalet veya federal düzenleyicilere bir veri ihlali bildirdiği görünmüyor (bkz: DocGo Ambulans Servisinin Hacklenmesi Hasta Verilerini Açığa Çıkardı).
Güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, “Ambulans şirketleri, paraya çevrilebilir veriler, kritiklik (yani herhangi bir kesintiye dayanamazlar) ve sağlık sektöründeki tipik kapsam altındaki kuruluşlardan daha az korunan bir yapıya sahiptir” dedi.
“Bu kuruluşlar, hastane veya kliniğin kapalı alanlarında değil, sahada ve mobil ortamlarda faaliyet göstermektedir. Veriler sahada kullanılabilir hale getirilmelidir ve verileri keyfi konumlara erişilebilir hale getirme yöntemleri erişim kontrolü açısından zor olabilir,” dedi. “Yapılan hatalar ve ortaya çıkan güvenlik açıkları suçlular tarafından keşfedildi ve ambulans şirketleri yüksek olasılıklı ödemeler olarak hedef alınıyor.”
Hamilton’a göre ambulans şirketlerinin sakladığı veriler, uyuşturucu doz aşımı geçmişi, aile içi şiddet, alkollü araç kullanımı ve hastaların ve mağdurların ifşa edilmesini istemeyeceği diğer bilgiler gibi bireyler hakkında pek çok hassas ayrıntıyı içerebiliyor.
“Gasbın ödenmemesi, suçluların bilgileri kamuoyuna açıklamasına neden olacak ve bu da söz konusu hastaları ve mağdurları yalnızca kimlik hırsızlığı ve diğer dolandırıcılık eylemlerine değil, aynı zamanda bireysel gasplara karşı da daha yüksek risk altına sokacak” dedi.
Hamilton, Kaliforniya ve diğer yerlerdeki gizlilik yasalarının özel dava hakkı oluşturduğunu ve çalınan kayıtların kamuya açıklanmasının sıklıkla davalarla sonuçlandığını, bu tür kamuya açık sızıntıların “özellikle zararlı” olduğunu sözlerine ekledi.
“Ambulans şirketleri, tespit ve müdahaleye odaklanarak siber güvenlik kontrollerine yapılan yatırımları gözden geçirmekte iyi iş çıkaracaktır,” dedi ve potansiyel bir siber olayın etkisini en aza indirmenin bu şirketler için en önemli hedef olması gerektiğini ekledi. “Bir olayı ilk aşamalarında yakalamak ve hızlı ve etkili bir müdahale sağlamak, felakete yol açma potansiyeli olan bir şeyi rutin bir temizliğe dönüştürebilir.”